Není-li dnes SSH server co nejrychleji záplatován na známé chyby a navíc se jeho administrátor moc netrápí pravidly pro přístupové heslo, stává se nejčastěji terčem útoků, po nichž následuje instalace nějakého DDoS botu a CoinMineru, hlásí výzkumníci z AhnLab Security Emergency Response Center (ASEC). A těch linuxových, které nemají patřičně aktualizované SSH rozhraní a bezpečná hesla, není málo.
ASEC uvádí, že útočníci stále typicky začínají skenováním IP adres, kdy hledají běžící SSH službu či aktivní port 22. Následně zkusí zjistit login buď hrubou silou či slovníkem a nezřídka takto získají přístup. Pak už následují obvyklé postupy zahrnující typicky malware jako ShellBot, Tsunami, ChinaZ DDoS Bot a XMRig CoinMiner. Instalován je SSH malware snažící se získat další SSH loginy. Nástroj pro slovníkový SSH útok je obvykle variací na stejný původní nástroj „prg“.
Doporučení závěrem je jasné: administrátoři mají používat silná neslovníková hesla a pravidelně je měnit a samozřejmě aktualizovat SSH server při každé opravě zranitelnosti. Nic, co by bylo nové, nic co by od nbusr123 překvapilo, přesto ve zprávě ASEC najdeme vtipné kombinace loginu/hesla jako dell/ 123 či Root/ Password1234.
My ještě dodáme, že zbytečná pravidelná změna hesla škodí a je proti aktuálním doporučovaným pravidlům. Mnohem lepší je používat pro přihlašování klíče a použití hesla zakázat na serverech úplně. Pro ještě bezpečnější prostředí pak můžete využít standardu FIDO2 a použít klíče uložené v hardwarovém tokenu.
ČLÁNKY DO MAILU