Ataques a servidores Linux SSH mal gestionados
En los últimos tiempos, los servidores Linux SSH se han convertido en un objetivo principal para los atacantes que pretenden comprometer la seguridad y explotar las vulnerabilidades para actividades maliciosas. Este artículo profundiza en la creciente preocupación que rodea a los servidores SSH Linux mal protegidos, las técnicas empleadas por los actores de amenazas y los pasos cruciales para fortalecer su servidor contra posibles ataques.
Detalles del ataque a servidores Linux SSH
Un número creciente de actores maliciosos están utilizando servidores Linux SSH mal protegidos como puntos de entrada para instalar escáneres de puertos y desplegar herramientas de ataque de diccionario. El objetivo final es comprometer servidores vulnerables e incorporarlos a una red para poder llevar a cabo ataques distribuidos de denegación de servicio (DDoS) y minería de criptomonedas.
Los agresores utilizan ataques de diccionario, intentando adivinar las credenciales SSH probando sistemáticamente las combinaciones de nombre de usuario y contraseña más utilizadas. Después de tener éxito, los actores de la amenaza escalan su ataque desplegando malware adicional, incluyendo sofisticados escáneres hechos para identificar otros sistemas vulnerables.
Estos escáneres identifican los sistemas con un puerto 22 activo (servicio SSH). A continuación, los actores de la amenaza llevan a cabo ataques de diccionario SSH para instalar malware. Algunos de los malwares más utilizados son ShellBot, Tsunami, ChinaZ DDoS Bot, XMRig CoinMiner y Gafgyt.
Según el informe de análisis, los atacantes utilizan primero este comando para comprobar el número total de núcleos de CPU después de iniciar sesión con éxito.
grep -c ^procesador /proc/cpuinfo
Esto indica que el actor malicioso ha conseguido las credenciales de la cuenta. Posteriormente, volvieron a iniciar sesión con las mismas credenciales para descargar un archivo comprimido, que contenía tanto un escáner de puertos como una herramienta de ataque por diccionario SSH.
Conclusión
Los administradores de servidores pueden reducir en gran medida el riesgo de compromiso si son conscientes de las estrategias utilizadas por los actores de las amenazas y ponen en marcha medidas preventivas. Se recomienda encarecidamente a los usuarios que adopten medidas de seguridad sólidas y proactivas para proteger los servidores SSH Linux de estas amenazas en constante evolución. Deben aplicarse prácticas esenciales como el uso de contraseñas complejas y difíciles de adivinar, cambiarlas con frecuencia y mantener los sistemas actualizados.
Las fuentes de este artículo incluyen una historia de TheHackerNews.