ClickCease Les attaquants ciblent les serveurs SSH Linux mal gérés

Table des matières

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

Les attaquants ciblent les serveurs SSH Linux mal gérés

Rohan Timalsina

Le 9 janvier 2024 - L'équipe d'experts de TuxCare

Ces derniers temps, les serveurs Linux SSH sont devenus une cible privilégiée pour les attaquants qui cherchent à compromettre la sécurité et à exploiter les vulnérabilités pour mener des activités malveillantes. Cet article traite de l'inquiétude croissante que suscitent les serveurs SSH Linux mal sécurisés, des techniques employées par les acteurs de la menace et des mesures cruciales à prendre pour protéger votre serveur contre les attaques potentielles.

 

Détails de l'attaque des serveurs SSH Linux

 

Un nombre croissant d'acteurs malveillants utilisent des serveurs Linux SSH mal sécurisés comme points d'entrée pour installer des scanners de ports et déployer des outils d'attaque par dictionnaire. L'objectif final est de compromettre des serveurs vulnérables et de les intégrer dans un réseau afin de mener des attaques par déni de service distribué(DDoS) et de l'extraction de crypto-monnaie.

Les adversaires utilisent des attaques par dictionnaire, tentant de deviner les identifiants SSH en testant systématiquement les combinaisons de noms d'utilisateur et de mots de passe les plus couramment utilisées. Après avoir réussi, les acteurs de la menace intensifient leur attaque en déployant d'autres logiciels malveillants, notamment des scanners sophistiqués conçus pour identifier d'autres systèmes vulnérables.

Ces scanners identifient les systèmes dont le port 22 (service SSH) est actif. Les acteurs de la menace mènent ensuite des attaques par dictionnaire SSH afin d'installer des logiciels malveillants. Parmi les malwares les plus couramment utilisés, citons ShellBot, Tsunami, ChinaZ DDoS Bot, XMRig CoinMiner et Gafgyt.

Selon le rapport d'analyse, les attaquants utilisent d'abord cette commande pour vérifier le nombre total de cœurs de CPU après une connexion réussie.

grep -c ^processeur /proc/cpuinfo

Cela indique que l'acteur malveillant a réussi à obtenir les informations d'identification du compte. Par la suite, il s'est connecté à nouveau en utilisant les mêmes informations d'identification pour télécharger un fichier compressé, qui contenait à la fois un scanner de port et un outil d'attaque par dictionnaire SSH.

 

Conclusion

 

Les administrateurs de serveurs peuvent réduire considérablement le risque de compromission en étant conscients des stratégies utilisées par les acteurs de la menace et en mettant en place des mesures préventives. Il est vivement conseillé aux utilisateurs d'adopter des mesures de sécurité robustes et proactives pour protéger les serveurs Linux SSH contre ces menaces en constante évolution. Des pratiques essentielles telles que l'utilisation de mots de passe complexes et difficiles à deviner, leur modification fréquente et la mise à jour des systèmes doivent être mises en œuvre.

 

Les sources de cet article comprennent un article de TheHackerNews.

Résumé
Les attaquants ciblent les serveurs SSH Linux mal gérés
Nom de l'article
Les attaquants ciblent les serveurs SSH Linux mal gérés
Description
Découvrez comment renforcer vos serveurs Linux SSH contre les cybermenaces en constante évolution. Découvrez les campagnes d'attaques contre les serveurs non sécurisés.
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information