Strony

Patient brute force

Ostatnio przeglądając auth loga jednego z systemów, którymi się opiekuję natrafiłem na zapis wart szczególnej uwagi. Fragment ten przedstawię poniżej przeplatając go drobnym komentarzem.
Jun 15 21:26:40 lucy sshd[12345]: Invalid user webmaster from xx.xx.97.30
Jun 15 21:26:40 lucy sshd[12347]: Invalid user webpop from xx.xx.97.30
Jun 15 21:26:40 lucy sshd[12349]: Invalid user wenchi from xx.xx.97.30
Jun 15 21:26:40 lucy sshd[12351]: Invalid user will from xx.xx.97.30
Jun 15 21:26:40 lucy sshguard[98455]: Blocking xx.xx.97.30: 4 failures over 0 seconds.
Jak nie trudno zauważyć odnotowano kolejną próbę ataku siłowego na usługę ssh. Każdy kto kiedykolwiek przeglądał logi systemowe jakiegoś serwera zapewne wie, że praktycznie każdego dnia są podejmowane próby zdobycia kont shellowych taką metodą. Jednak wracając do naszego przypadku po wykryciu czterech prób nieudanego logowania adres ip hosta zostaje zablokowany. Ja korzystam z sshguarda, który jest bardzo dobrą i prostą metodą blacklistowania natrętnych hostów przy użyciu różnego rodzaju backendów w postaci firewali np. iptables, pf, ipfw. Jako, że maszyna, na której log został zapisany obsługiwana jest przez FreeBSD korzystam z domyślnego firewalla tego systemu. Adresy IP hostów nie są blokowane na stałe z czysto praktycznych przyczyn użytkowych. Dany adres po upływie pewnego czasu jest zwalniany:
Jun 15 21:36:46 lucy sshguard[98455]: Releasing xx.xx.97.30 after 606 seconds.
Fakt ten wykorzystuje nasz natrętny host, który podejmuje dalsze próby:
Jun 15 22:03:44 lucy sshd[13149]: Invalid user nathalie from xx.xx.97.30
Jun 15 22:20:14 lucy sshd[13498]: Invalid user archives from xx.xx.97.30
Jun 15 22:20:14 lucy sshd[13500]: Invalid user public from xx.xx.97.30
Jun 15 22:37:14 lucy sshd[13861]: Invalid user oracle from xx.xx.97.30
Jun 15 22:48:38 lucy sshd[14090]: Invalid user oracle from xx.xx.97.30
Jun 15 23:06:52 lucy sshd[14480]: Invalid user oracle from xx.xx.97.30
Jun 15 23:06:52 lucy sshd[14482]: Invalid user oracle from xx.xx.97.30
Jun 15 23:06:52 lucy sshd[14484]: Invalid user oracle from xx.xx.97.30
Zwróćmy uwagę, że blokowanie nie następuje, ponieważ próby podejmowane są "ostrożniej", następują w większych interwałach, wydaje się nawet, że atakujący pamięta po ilu próbach go zablokowano i próbuje seriami po 3 logowania (po 4tym następuje blokada).

Powyższy przykład przechwycony w rzeczywistym środowisku ilustruje bardzo dobrze notkę z securityfocus autorstwa Roberta Lemosa o tytule "Admins warned of brute-force SSH attacks". Autor jasno mówi o technice ataku "low and slow", która coraz częściej zastępuje najprostszy brute force.

Na koniec warto zwrócić uwagę na zagrożenia płynące z takich prób. Oprócz oczywistych szkód jakie może wyrządzić atakujący w systemie ofiary, zdobyte konto posłużyć może również jako hub botnetu, albo miejsce docelowe dla bota lub innego złośliwego oprogramowania. Jeśli kogoś to nie przekonuje warto pomyśleć o serwerach na dużych uczelniach, które posiadają tysiące kont z dostępem do powłoki systemowej. Wiele takich kont jest "bezpańskich", a zabezpieczone są one często trywialnymi hasłami, nie rzadko klasykiem w stylu login==hasło. Jakie możliwości daje taki stan rzeczy i takie jakości łącz wyższych uczelni nie trzeba chyba nikomu powtarzać.

Brak komentarzy:

Prześlij komentarz