Général

Accueil
Revue de presse
Contactez-nous
Participez

Les menaces

Les honeypots
L'e-commerce
Internet et la vie privé
Les virus, Vers et Hoax
Les Spams et Antispam
TrendMicro
Sécurité en entreprise
Cas concret dans le SI

Annonces google

Les attaques

DOS
Listes des dictionnaires
Les Scan UDP et TCP
Brute force DNS
Sniffers et Antisniffers
Sniffers et Switchs
Attaque de Switch
Attaque d'HSRP

Les VPN

SSL et TLS

Les Infrastructures

Le Cloud Computing
Ethernet

SECURITE RESEAU HACKING DECRYPTAGE ENTREPRISE ATTAQUE


Campagne d'attaque SSH par réseau de zombies

Les attaques sur les serveurs SSH ne sont pas nouvelles. Le but étant évidemment de rentrer sur la machine, accessible via SSH, avec un compte ayant les privilèges les plus élevés possibles.

La principale méthode utilisée est le brute-force. Ce n'est d'ailleurs pas très discret face à un bon administrateur de site qui surveille ses logs de serveur...
On trouve aussi des codes d'attaque à compiler, voire prêts à l'emploi, pour lancer une attaque en force brute sur SSH (ex : http://www.madirish.net/?article=183).

Cette fois-ci, les milieux malveillants ont un peu réfléchi et pris l'attaque sous un nouvel angle : la rotation des IP de machines attaquantes.

Le système ?  un botnet, ou réseau de zombies, dont le code malin a pour charge active le nécessaire afin de mener une attaque sur serveur SSH (pour rappels, certains code malins se mettent à jour via des serveurs spécialisés, et peuvent récupérer de nouvelles charges, ou commandes).
 
L'avantage ? chaque machine intégrée au réseau zombie a une adresse IP différente... même en tentant le même identifiant utilisateur sur la même machine cible, les journaux d'évènements sont à analyser de manière différente pour déceler l'attaque.
Cette technique complique la vie des outils "qui-allaient-bien" tels que Fail2Ban, ou DenyHosts.

Cette fois-ci, la corrélation de log à mener pour déceler l'attaque doit intégrer une intelligence plus poussée. Cela tend évidemment vers le SIEM (ex : OSSIM).


D'autres solutions :
- authentification forte au niveau des serveurs équipés de SSH
- sondes IPS, comme les ISS (qui détectent la présente attaque)
- durcir les règles de pare-feu, certains ont des moteurs de détection de comportements anormaux.


Source initiale : http://www.heise-online.co.uk/security/Distributed-SSH-attacks-bypass-blacklists--/news/112174
Complément (serveur attaqué) : http://www.linode.com/forums/viewtopic.php?t=3679  et http://www.christopher-kunz.de/archives/205-Distributed-and-coordinated-SSH-bruteforce-attacks.html



Posté le 22 decémbre 2008 par Philippe VIALLE - source Veille virale


Vous pouvez commenter cette nouvelle
en posant vos avis, questions et remarques
sur le forum actualité

Recherche


Web AuthSecu

Votre sécurité

38.107.179.224:38452
Décryptez MD5
Décryptez Cisco 7

Les lois et normes

Adresse IP personnelle ?
Logs : Loi anti-terroriste
Le code pénal pour le SI
Les condamnations

Interactif

Forums
Elearning
Multimédia

Les Outils exe

ArpFlood
Cisco7
EnableSecret
Session
SynFlood

La newsletter



1 mail / mois



mot clé : d attaques zombies de attaque authentification ssh reseau news vpn par publié nouvelles securite dos intrusion nouvelle campagne reseau publication

Copyright © 2006-2010 authsecu.com. Tous droits réservés. Les marques et marques commerciales mentionnées appartiennent à leurs propriétaires respectifs. L'utilisation de ce site Web sécurité implique l'acceptation des conditions d'utilisation et du règlement sur le respect de la vie privée de Sécurité. IP VPN LAN Téléphonie entreprise Expert de votre Infrastructure Comparatif ADSL Affiliation FrameIP Telecom