Alfonso Maruccia

Zombie Linux contro server SSH?

Scovata una nuova botnet, e questa volta si tratterebbe di sistemi Linux compromessi: sarebbero istruiti per tentare di penetrare in maniera intelligente e distribuita nei server funzionanti con protocollo SSH

Roma - Il consulente e sviluppatore IT Nazar Aziz ha scovato quella che, a suo dire, è una botnet Linux-powered che agisce seguendo un basso, bassissimo profilo, "spalmando" un attacco a forza bruta alla ricerca di password sui vari componenti della rete malevola, in modo da non insospettire sysadmin e sistemi di difesa proattiva impiegati per prevenire accessi indesiderati.

La botnet, che Aziz dice di aver individuato durante il monitoraggio dei server Linux che ha in gestione, prova a indovinare la password di accesso su server SSH ma lo fa in modo da non destare facili sospetti: piuttosto che provare all'infinito l'attacco a uno stesso bot, dopo tre tentativi falliti il sistema continua con il bot successivo e quindi con un diverso indirizzo IP. Usare uno stesso indirizzo IP per soli tre tentativi di accesso significa a suo dire rendere sostanzialmente invisibile la botnet.

Aziz avrebbe scovato il pattern dell'attacco solo grazie a un controllo dettagliato dei file di log generati dal tool di sicurezza e statistica per server SSH DenyHost. Piuttosto che concentrarsi sullo sfruttamento di particolari vulnerabilità, dunque, la botnet usa un database condiviso con cui tentare di individuare password non particolarmente sicure.
Col tempo, dice Aziz, il tentativo di penetrazione sui suoi server si è spostato dalle porte del protocollo SSH all'account root del sistema, ma quello che non è cambiato è il meccanismo usato per rendere invisibili le tracce dell'attacco. "Siccome l'attacco viene passato al prossimo bot (con un differente indirizzo IP), in effetti viene continuato senza essere individuato", spiega.

Per contrastare la botnet, Aziz ha sviluppato uno script in grado di avvertire automaticamente gli amministratori dei server da cui sembrano partire i tentativi di accesso non autorizzato. Secondo le informazioni più aggiornate postate online, Aziz sostiene di aver spedito alcune notifiche e di aver ricevuto in risposta la conferma dell'effettiva compromissione dei server individuati.

Alfonso Maruccia
316 Commenti alla Notizia Zombie Linux contro server SSH?
Ordina
  • Come ho scritto anche prima, ma avete letto bene la notizia originale in inglese?

    "The Problem.

    Sadly, there exists many Linux/Unix boxes with poorly configured SSHD servers. These typically have username/password combinations of test/test, web/web, john/john and so on."

    Ma vi rendete conto?

    Se uno configura un server mettendo UserName: web, Password: web, sta praticamente invitando tutti ad entrare!

    Inoltre:

    "I have had four replies from system admins confirming that these machines have been compromised ..."

    Quattro risposte?

    Ma come ... Linux gestisce il 60% del mercato server e qui ci riduciamo a discutere di "ben quattro server compromessi?????"

    Semmai, questa è una ulteriore conferma della grandissima affidabilità di Linux; dall'altra parte, ogni giorno migliaia e migliaia di server Windows bucati come dei colabrodo!

    Ma cerchiamo di essere seri!!!
    non+autenticato
  • Anche questo, a modo suo, ribadisce il crescente successo dei sitemi linux
    non+autenticato
  • - Scritto da: Petengy
    > Anche questo, a modo suo, ribadisce il crescente
    > successo dei sitemi
    > linux

    Seguendo questo ragionamento Windows ha più successo di Linux.
    E dato che successo == qualità (altrimenti non avrebbe successo), Windows è migliore di Linux! Ficoso

    Fan WindowsFan WindowsFan Windows
    non+autenticato
  • - Scritto da: asd
    > - Scritto da: Petengy
    > > Anche questo, a modo suo, ribadisce il crescente
    > > successo dei sitemi
    > > linux
    >
    > Seguendo questo ragionamento Windows ha più
    > successo di
    > Linux.
    > E dato che successo == qualità (altrimenti non
    > avrebbe successo), Windows è migliore di Linux!
    >Ficoso
    >
    > Fan WindowsFan WindowsFan Windows

    lo sapevamo già che windows al momento ha ancora piu' successo, stavo solo ribadendo che questo evento rende Linux ancor di piu' "cool"... eh ehe ehe questi sono fenomeni che colpiscono OS diffusamente usati...Occhiolino
    non+autenticato
  • esatto Windows è la migliore scelta vuoi che un attacco vada a buon fine dato che su Linux l'unico mezzo è indovina la password o meglio dire bruteforce, anche su Windows si può usare bruteforce ma hai dispozione un infinità di virus pronti a darti una mano.
    non+autenticato
  • LA cosa che comunque non è chiara a tutti è la vera origine di quella bootnet.. io ho il sospetto che sia stata costruita appositamente... anche se di queste tecniche mastico poco..
    ciao
  • - Scritto da: picard12
    > LA cosa che comunque non è chiara a tutti è la
    > vera origine di quella bootnet.. io ho il
    > sospetto che sia stata costruita appositamente...
    > anche se di queste tecniche mastico
    > poco..
    > ciao

    Sai... C'e' gente che si fa botnet molto belle, internazionali, su macchine potenti solo per sbattere fuori uno da irc Rotola dal ridere quindi tutto e' possibile.

    Inoltre se hai una buona botnet con rootkit ben personalizzati e' un attimo istruirla a fare quel che ti serve al momento.

    (Ammetto che quando ho letto "grazie a chi mi ha delucidato" scritto da Picard ho subito pensato alla pelata di Jan Luke Rotola dal ridereRotola dal ridereRotola dal ridere
    -----------------------------------------------------------
    Modificato dall' autore il 15 luglio 2008 18.00
    -----------------------------------------------------------
    krane
    22544
  • - Scritto da: krane

    > (Ammetto che quando ho letto "grazie a chi mi ha
    > delucidato" scritto da Picard ho subito pensato
    > alla pelata di Jan Luke

    Magari in versione "semiborg".... miiiiiitiiicooooo!
    Sorride
    non+autenticato
  • Quindi molti troll e la stessa persona che ha scritto la notizia hanno parlato parecchio al "vento" e sono generoso.Perchè anche se la mia domanda era un pò ironica ma i troll non l'hanno capita,nessuno può affermare che una simile rete non sia stata creata appositamente da una persona e non frutto di un attacco ad una rete di pc-linux, anche perchè son diverse le cose che non tornano.. ma anche l'utonto è sempre all'attacco..
    ciaooaoaoao


    PS:il pezzo borg è in basso...al centro, poco sotto l'ombelico..
  • - Scritto da: picard12

    > PS:il pezzo borg è in basso...al centro, poco
    > sotto
    > l'ombelico..

    bravo bravo tienilo lucidato il pezzo borg...mi raccomando.... e occhio ai pezzi di ricambio e ai prezzi.... sai com'è con la crisi del dollaro....

    Io per il momento non ho pezzi borg... sai com'è la resistenza sarà futile... ma io sono ostinato! Con la lingua fuoriCon la lingua fuoriCon la lingua fuoriCon la lingua fuoriCon la lingua fuori

    Tu
    Piuttosto hai una officina di fiducia?
    non+autenticato
  • Per la serie "chi si loda si imbroda" eccovi servita una bella notiziola sulla presunta invulnerabilità di linux tanto blasonata dagli utonti linari.

    Rotola dal ridereRotola dal ridereRotola dal ridere
    non+autenticato
  • - Scritto da: Nerds
    > Per la serie "chi si loda si imbroda" eccovi
    > servita una bella notiziola sulla presunta
    > invulnerabilità di linux tanto blasonata dagli
    > utonti linari.

    Certo, Linux è violabile, come qualunque altro sistema. E' il come che fa la differenza. Fa sorridere che l'unico attacco di massa che si possa usare contro linux sia un brute force sulla password, tra l'altro sperando di trovare un server con password particolarmente debole e sysadmin completamente disattento.

    Riguardo alla bot... non sappiamo quanto sia estesa nè come ne sia stato preso il controllo.

    Nulla di sofisticato, né di realmente pericoloso. Nulla a che vedere con gli attacchi ai sistemi Windows che sfruttano falle in grado di dare diretto accesso al sistema.
  • grazie per aver scritto, illuminandoci con il suo trollamento.. spero tu ti sia divertito.. a me fai molto ridere.. dai un fans del tuo spettacolo ce l'hai..
  • - Scritto da: Nerds
    > Per la serie "chi si loda si imbroda" eccovi
    > servita una bella notiziola sulla presunta
    > invulnerabilità di linux tanto blasonata dagli
    > utonti
    > linari.
    >
    > Rotola dal ridereRotola dal ridereRotola dal ridere

    a me fa felice invece tutto cio', implica che linux è sempre piu' usato e diffuso, al punto da attirare anche le moleste attenzioni... bene bene ... non avrei mai detto che sarebbe arrivato anche questo momento
    non+autenticato
  • a me fa più felice il fatto che nel 2008 l'unico attacco di massa che puoi portare a Linux è bruteforce.
    non+autenticato
  • sta di fatto che piu' si diffonde (e ne sono felice) e piu' "attenzioni" attira.
    non+autenticato
  • sei tu che sei vulnerabile...

    se lasci la tua ferrari con le chiavi nel quadro e te la rubano...

    cosa fai, ti lamenti della macchina?
    non+autenticato
  • Sì insomma questa notizia era per dare un contentino ai Winzozz fan-boys.

    Sempre notizie che vedono quella fetecchia di windows alla berlina, vulnerabilità e problemi vari,

    la redazione di P.I. ha pensato, ma sì diamogli un minimo di soddisfazione anche agli utonti winzozz.

    Peccato che il paragone non regga, nel senso che questa notizia si riferisca ad uno dei tanti tentativi di prendere il controllo di server Linux, ma questa volta con script automatici, e non di vera e propria falla critica del sistema operativo che ha permesso un danno su vasta scala.

    E intanto i Winzozz fan-boys si eccitano e clickano, col click spastico-compulsivo sui post della notizia e sulla pubblicità di banner e adwords.
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | Successiva
(pagina 1/8 - 36 discussioni)