Niebezpieczny bot atakuje Linuksa
Niebezpieczny bot atakuje serwery www, a za ich pomocą - urządzenia sieciowe posługujące się protokołem SSH. Po raz pierwszy celem są urządzenia posługujące się systemem operacyjnym Linux. Według analityków chodzi o stworzenie mechanizmu szybkiego włamania na urządzenia sieciowe, co ułatwi potem pobranie ważnych danych z firm i urzędów państwowych - piszą portale bezpieczeństwa i informatyczne
18.08.2010 | aktual.: 18.08.2010 13:36
Zalogowani mogą więcej
Możesz zapisać ten artykuł na później. Znajdziesz go potem na swoim koncie użytkownika
Według portalu The Register, bot atakuje serwery stron internetowych używające starszych wersji oprogramowania PHPMyAdmin. Jest to napisane w języku PHP oprogramowanie do zarządzania bazą danych MySQL, konieczną do tworzenia i administrowania stronami internetowymi. Jeśli serwer nie został załatany poprawką stworzoną w kwietniu br. i wciąż posiada lukę w systemach bezpieczeństwa, bot instaluje na nim plik dd_ssh. Serwer wykonując polecenia tego skryptu zaczyna szukać w Sieci urządzeń takich jak routery, switche, czy huby, pracujące pod kontrolą systemu operacyjnego Linux i posługujące się protokołem SSH.
SSH to nazwa całej rodziny protokołów, stosowanych w terminalach, służących do przesyłania plików (SCP, SFTP), zdalnej kontroli zasobów, tunelowania oraz innych zastosowań w sieci. W tych protokołach transfer danych jest zaszyfrowany i możliwe jest rozpoznanie użytkownika.
Jeśli bot wykryje, że dane urządzenie posiada adres z listy, którą sam zawiera, wówczas inicjuje atak na nie. Według monitorującego aktywność i bezpieczeństwo w internecie serwisu DShield, należącego do SANS Institute, między 2. lipca a 10 sierpnia sześciokrotnie wzrosła liczba komputerów skanujących urządzenia SSH i trzykrotnie częściej takie urządzenia stały się celem ataków.
Według The Register z punktu widzenia hackerów taki typ ataku pozwala zmniejszyć koszty i przeprowadzić po kilka ataków na dane urządzenie SSH przez przejęty serwer, zanim przejdzie on do następnego na swojej liście routera czy switcha. W atakach tych chodzi bowiem o złamanie hasła administratora, dającego kontrolę nad całym urządzeniem, poprzez wypróbowywanie ogromnej ilości kombinacji możliwych haseł.
Według Security Blog chodzi prawdopodobnie nie tyle o przejęcie kontroli nad urządzeniami SSH "już teraz" ile o wypróbowanie nowej metody ataku, która pozwoli na szybkie wejście na urządzenie SSH, jak router, monitorowanie ruchu w korporacji lub ważnej instytucji rządowej i kradzież danych. Serwis ten radzi skonfigurowanie urządzeń SSH przy użyciu klucza kryptograficznego, co znacznie utrudni jeśli nie uniemożliwi ataki na nie.
