Zombie Linux contro server SSH?
Topic
Approfondimenti
Trending
tutti

Zombie Linux contro server SSH?

Scovata una nuova botnet, e questa volta si tratterebbe di sistemi Linux compromessi: sarebbero istruiti per tentare di penetrare in maniera intelligente e distribuita nei server funzionanti con protocollo SSH
Sicurezza Antivirus
Scovata una nuova botnet, e questa volta si tratterebbe di sistemi Linux compromessi: sarebbero istruiti per tentare di penetrare in maniera intelligente e distribuita nei server funzionanti con protocollo SSH

Il consulente e sviluppatore IT Nazar Aziz ha scovato quella che, a suo dire, è una botnet Linux-powered che agisce seguendo un basso, bassissimo profilo , “spalmando” un attacco a forza bruta alla ricerca di password sui vari componenti della rete malevola, in modo da non insospettire sysadmin e sistemi di difesa proattiva impiegati per prevenire accessi indesiderati.

La botnet, che Aziz dice di aver individuato durante il monitoraggio dei server Linux che ha in gestione, prova a indovinare la password di accesso su server SSH ma lo fa in modo da non destare facili sospetti: piuttosto che provare all’infinito l’attacco a uno stesso bot, dopo tre tentativi falliti il sistema continua con il bot successivo e quindi con un diverso indirizzo IP. Usare uno stesso indirizzo IP per soli tre tentativi di accesso significa a suo dire rendere sostanzialmente invisibile la botnet .

Aziz avrebbe scovato il pattern dell’attacco solo grazie a un controllo dettagliato dei file di log generati dal tool di sicurezza e statistica per server SSH DenyHost . Piuttosto che concentrarsi sullo sfruttamento di particolari vulnerabilità, dunque, la botnet usa un database condiviso con cui tentare di individuare password non particolarmente sicure.

Col tempo, dice Aziz, il tentativo di penetrazione sui suoi server si è spostato dalle porte del protocollo SSH all’account root del sistema, ma quello che non è cambiato è il meccanismo usato per rendere invisibili le tracce dell’attacco. “Siccome l’attacco viene passato al prossimo bot (con un differente indirizzo IP), in effetti viene continuato senza essere individuato”, spiega.

Per contrastare la botnet, Aziz ha sviluppato uno script in grado di avvertire automaticamente gli amministratori dei server da cui sembrano partire i tentativi di accesso non autorizzato. Secondo le informazioni più aggiornate postate online, Aziz sostiene di aver spedito alcune notifiche e di aver ricevuto in risposta la conferma dell’effettiva compromissione dei server individuati .

Alfonso Maruccia

Pubblicato il 15 lug 2008

Link copiato negli appunti

Ti potrebbe interessare

Proteggiti dagli attacchi informatici con l'antivirus Malwarebytes Premium (nuova offerta)

Proteggiti dagli attacchi informatici con l'antivirus Malwarebytes Premium (nuova offerta)
Protezione Norton Antivirus: un nuovo pacchetto ti aspetta (sconto del 66%)

Protezione Norton Antivirus: un nuovo pacchetto ti aspetta (sconto del 66%)
Pacchetti antivirus Kaspersky in sconto fino al 60%: approfittane subito

Pacchetti antivirus Kaspersky in sconto fino al 60%: approfittane subito
Antivirus e antimalware: differenze e quale scegliere

Antivirus e antimalware: differenze e quale scegliere
Proteggiti dagli attacchi informatici con l'antivirus Malwarebytes Premium (nuova offerta)

Proteggiti dagli attacchi informatici con l'antivirus Malwarebytes Premium (nuova offerta)
Protezione Norton Antivirus: un nuovo pacchetto ti aspetta (sconto del 66%)

Protezione Norton Antivirus: un nuovo pacchetto ti aspetta (sconto del 66%)
Pacchetti antivirus Kaspersky in sconto fino al 60%: approfittane subito

Pacchetti antivirus Kaspersky in sconto fino al 60%: approfittane subito
Antivirus e antimalware: differenze e quale scegliere

Antivirus e antimalware: differenze e quale scegliere
Alfonso Maruccia
Pubblicato il
15 lug 2008
Link copiato negli appunti