Tietoturva nyt!

13.5.2008

Hajautettuja SSH-hyökkäyksiä havaittu tavallista enemmän

CERT-FI on havainnut viime päivinä tavallista enemmän viitteitä hyökkäyksistä, joissa palvelimiin pyritään kirjautumaan kokeilemalla SSH-käyttäjätunnuksia ja salasanoja.

Viime päivinä havaituille SSH-hyökkäyksille on ollut tunnusomaista, että kirjautumisyritykset tapahtuvat hajautetusti useista eri IP-osoitteista. Sama ilmiö on havaittu kansainvälisesti. Useissa tapauksissa kirjautumisyrityksiä tekevät hyökkääjät käyttävät hajautuksesta huolimatta yhteistä jaettua käyttäjätunnuslistaa kohdetta vastaan. Yksittäinen IP-osoite tekee kirjautumisyrityksiä yhteen kohteeseen vain muutaman kerran ja hyökkäyksissä käytetyn käyttäjätunnuslistan peräkkäisiä tunnuksia kokeillaan eri IP-osoitteista. Tällä pyritään peittämään hyökkäys tunkeutumisten esto- ja havainnointijärjestelmiltä. Toimiva keino edellä kuvatuilta hyökkäyksiltä suojautumiseen on riittävän vahvojen salasanojen vaatiminen SSH-käyttäjiltä. Myös SSH-kirjautumisen estäminen root-käyttäjältä on tarpeellinen tietoturvatoimenpide. Kirjautumisyritysten seurantaan ja estämiseen on myös olemassa lukuisia työkaluja.

Lisätietoa

http://isc.sans.org/diary.html?storyid=4408

Sivua päivitetty 13.05.2008

Tulostusversio

Tuoreimmat kirjoitukset:

Tänään vietetään Tietoturvapäivää yli 60 maassa
7.2.2012
DNSChanger -haittaohjelman poistamisesta
7.2.2012
CERT-FI vuosikatsaus 2011
31.1.2012
Verkon käyttäjiä tahtomattaan palvelunestohyökkäyksissä
27.1.2012
Testaa, onko koneessasi DNSChanger-haittaohjelma
19.1.2012
Keskusrikospoliisi tutkii tietomurtoja
13.1.2012
CERT-FI:n ohjetta verkkopalvelun ohjelmistoalustan valinnasta ja palvelun turvallisesta ylläpidosta päivitetty
13.1.2012
Suomalaiset tekijänoikeusjärjestöt palvelunestohyökkäyksen kohteena
12.1.2012
Suomalaisten automaatiojärjestelmien osoitteita julkaistu verkossa
12.1.2012
Langattomien verkkojen suojauksessa käytetty WPS-tekniikka murtuu helposti
4.1.2012