Les attaquants ciblent les serveurs SSH Linux mal gérés
Ces derniers temps, les serveurs Linux SSH sont devenus une cible privilégiée pour les attaquants qui cherchent à compromettre la sécurité et à exploiter les vulnérabilités pour mener des activités malveillantes. Cet article traite de l'inquiétude croissante que suscitent les serveurs SSH Linux mal sécurisés, des techniques employées par les acteurs de la menace et des mesures cruciales à prendre pour protéger votre serveur contre les attaques potentielles.
Détails de l'attaque des serveurs SSH Linux
Un nombre croissant d'acteurs malveillants utilisent des serveurs Linux SSH mal sécurisés comme points d'entrée pour installer des scanners de ports et déployer des outils d'attaque par dictionnaire. L'objectif final est de compromettre des serveurs vulnérables et de les intégrer dans un réseau afin de mener des attaques par déni de service distribué(DDoS) et de l'extraction de crypto-monnaie.
Les adversaires utilisent des attaques par dictionnaire, tentant de deviner les identifiants SSH en testant systématiquement les combinaisons de noms d'utilisateur et de mots de passe les plus couramment utilisées. Après avoir réussi, les acteurs de la menace intensifient leur attaque en déployant d'autres logiciels malveillants, notamment des scanners sophistiqués conçus pour identifier d'autres systèmes vulnérables.
Ces scanners identifient les systèmes dont le port 22 (service SSH) est actif. Les acteurs de la menace mènent ensuite des attaques par dictionnaire SSH afin d'installer des logiciels malveillants. Parmi les malwares les plus couramment utilisés, citons ShellBot, Tsunami, ChinaZ DDoS Bot, XMRig CoinMiner et Gafgyt.
Selon le rapport d'analyse, les attaquants utilisent d'abord cette commande pour vérifier le nombre total de cœurs de CPU après une connexion réussie.
grep -c ^processeur /proc/cpuinfo
Cela indique que l'acteur malveillant a réussi à obtenir les informations d'identification du compte. Par la suite, il s'est connecté à nouveau en utilisant les mêmes informations d'identification pour télécharger un fichier compressé, qui contenait à la fois un scanner de port et un outil d'attaque par dictionnaire SSH.
Conclusion
Les administrateurs de serveurs peuvent réduire considérablement le risque de compromission en étant conscients des stratégies utilisées par les acteurs de la menace et en mettant en place des mesures préventives. Il est vivement conseillé aux utilisateurs d'adopter des mesures de sécurité robustes et proactives pour protéger les serveurs Linux SSH contre ces menaces en constante évolution. Des pratiques essentielles telles que l'utilisation de mots de passe complexes et difficiles à deviner, leur modification fréquente et la mise à jour des systèmes doivent être mises en œuvre.
Les sources de cet article comprennent un article de TheHackerNews.