Серверный ботнет массово подбирает данные авторизации к сервисам SSH
Ботнет, основанный на скомпрометированных уязвимых веб-сайтах, наводняет Сеть запросами, с помощью которых стоящие за ним хакеры осуществляют прямой подбор вариантов данных авторизации к безопасным оболочкам SSH, защищающим серверы на базе Linux, роутеры и прочие сетевые устройства.
Согласно сведениям из различных источников, бот-агенты зомби-сети компрометируют те ресурсы, на которых установлена устаревшая версия phpMyAdmin. Эксплуатируя пропатченную в апреле уязвимость, бот устанавливает файл под названием dd_ssh, который начинает тралить Сеть на наличие устройств, защищенных протоколом SSH.
Как говорится в этом сообщении блога, бот-агент осуществляет брутфорс-атаки на SSH по произвольным IP-адресам из заданного владельцами ботнета списка. Согласно статистике сервиса DShield от SANS Institute, за период с 24 июля по 10 августа произошел шестикратный рост числа занятых в таком сканировании скомпрометированных источников. Количество целей за это же время выросло почти в три раза.
Использование распределенной сети из скомпрометированных веб-серверов имеет ряд достоинств — такой подход не только экономит пропускную способность каналов связи и вычислительные ресурсы, но и позволяет скрыть факт сканирования от потенциальных жертв, поскольку каждый из ботов предпринимает всего несколько попыток подбора, а затем переходит к следующему адресу. Целью атаки является подбор паролей, используемых для управления веб-сайтами.
Помимо угрозы непропатченным сайтам и защищенным средствами SSH устройствам, ботнет опасен и для неуязвимых к его действиям ресурсов, поскольку обращения к файлам admin.php, setup.php и прочим файлам PHP создают эффект DDoS-атаки. Решение проблемы — использование “черных списков” IP-адресов и применение при использовании SSH криптографических ключей, а не паролей.