SSH Ziel von Brute Force Attacken

wenn euer Post nicht in eine bestehende Kategorie passt einfach hier posten.

SSH Ziel von Brute Force Attacken

Beitragvon admin » 14.07.2008, 15:58

Neue Möglichkeiten des Brute Force

In den letzten Monaten, primär aber seit Anfang Juli, zeichnet sich weltweit eine erhöhte Zunahme von Brute Force Attacken ab. Bei der schon lange verwendeten Methode durch das Ausprobieren von gängigen Usernamen und zugehörigen Passwörtern tut sich ein neuer Trend auf. Dabei wird ein Remote-Zugriff via SSH (Secure Shell) drei Mal probiert und hinterlässt somit häufig nur geringe Spuren. Nach einem gescheiterten Versuch kommt ein weiterer Rechner (beispielsweise aus einem Botnetz) zum Einsatz und probiert seine Passwortliste erneut drei Mal durch. Allzu häufig verwenden Administratoren noch immer simple Passwörter und erleichtern somit einem Angreifer den Einstieg in das System.

SSH ist eine altbewährte und sichere Methode um Remote-Zugriff auf einen Rechner zu erhalten. Ein maßgeblicher Faktor, der die Sicherheit markant beeinflusst, ist das Passwort, welches möglichst aus einer Kombination von Klein- und Großbuchstaben sowie Zahlen gestaltet werden sollte. Des Weiteren bietet SSH die Möglichkeit, bestimmten Nutzern (vorzugsweise Root) den Zugriff zu verweigern. Auch Richtlinien hinsichtlich des Ursprungs der Verbindung (IP-Beschränkungen) können vorgenommen werden.

Nichtsdestotrotz gibt es zahlreiche unixoide Server, die eine schwache SSH-Konfiguration aufweisen. Typischerweise werden einfache Username/Passwort-Kombinationen wie web/web oder test/test verwendet und stellen ein gefundenes Fressen für so manche Passwort-Liste dar. Besonders die Betreiber von Botnetzen sind gezielt auf der Suche nach solchen Rechnern. Nach dem erfolgreichen Einstieg in das System findet sich der betroffene Rechner häufig selbst in einem Botnetz wieder und tätigt weitere Angriffe. Den SSH-Angriffen kann mit Programmen wie DenyHost (DH) auf bequeme Art und Weise Einhalt geboten werden. DenyHost selbst überwacht sämtliche Zugriffe über SSH und setzt fehlgeschlagene Logins, vielmehr die IP-Adresse, die sich dahinter verbirgt, auf eine Blacklist. Besonderes Highlight von DH ist es, dass die gesammelte Blacklist mit anderen Anwendern ausgetauscht werden kann und dadurch ein weitreichender Schutz gewährleistet wird und letztlich die Zahl der ungewünschten SSH-Zugriffe minimiert werden kann. Doch dem ursprünglichen Übel können auch derartige Programme nicht gänzlich entgegen wirken. Insbesondere da die SSH-Zugriffe aktuell global einen richtigen Boom erleben. Im Idealfall müssen SSH-Zugriffe in die Blacklist aufgenommen, ein Log-File erzeugt werden und der Internetanbieter (ISP) des Angreifers informiert werden. Denn nur dieser kann die Angriffe unterbinden. Panther Software hat in diesem Zusammenhang ein Script entwickelt, welches dem zugehörigen ISP des Angreifers eine Email über den Zustand des Servers sendet. Diese Mail enthält einen Auszug des Logfiles und weitere Details über den versuchten Angriff. Das DenyHost-Plugin kann auf der Webseite des Hersteller heruntergeladen werden.


Quelle: http://panthersoftware.com
Admin
Ein Mensch fühlt oft sich wie verwandelt, sobald man menschlich ihn behandelt. Eugen Roth
admin
Administrator
 
Beiträge: 587
Registriert: 19.09.2003, 20:36

Zurück zu News und andere Nettigkeiten

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste