|
|
发表于 2005-12-20 21:32:05
|
显示全部楼层
<转>黑客利用僵尸电脑实施“蛮力”SSH攻击
这是一个能够让最好的IT管理员都打瞌睡的乏味的工作。但是,作为一家美国大型医疗机构的安全和设备管理员,Adam Nunn已经学会了认真地研究他的网络活动日志。他知道坏蛋什么时候要突破他的网络。那些网络日志可以作为网络故障的第一个迹象。
Nunn采用一种轻松的方法在家中查看网络日志。但是,有一天,他吃惊地发现,有人在一个月的时间里对他的个人网络服务器进行了1000多次蛮力攻击。
“除非你查看网络日志,否则,你不会注意到这种攻击”,Nunn说。“事实是,针对我的家庭网络服务器进行的大量的攻击表明,一些更大规模的攻击正在进行之中,而且大型企业是攻击的目标。对大企业的攻击确实让我感到担心。”
安全研究公司Cyber-Defense的老板David Hoelzer说,Nunn的担心是有道理的。在过去的几个月里,他看到有人对SSH(Secure Shell,安全外壳)进行了大量的蛮力身份识别攻击以及单词表/用户名攻击。同Nunn一样,Hoelzer与其他安全专家的记录进行了比较,发现这种攻击的规模很大。更糟糕的是,黑客利用大量的僵尸电脑实施这种攻击。
Hoelzer说,如果我是一个IT管理员正在检查我的日志并且首次发现这个问题,我会感到很可怕。这表明,黑客破解SSH的手段正在提高。人们用了很长的时间才从Telnet转换到更安全的SSH。如果你能够从SSH突破网络,这种攻击是加密的,很难跟踪到攻击者。
据Whatis.com网站介绍,SSH也称作安全接壳(secure socket shell),是一种基于Unix的指令接口和协议,广泛应用于网络管理员远程管理网站和其它服务器的工作中。SSH指令以好几种方式进行加密。客户机和服务器连接的两端使用数字证书进行身份识别,口令以加密的方式进行保护。因此,Hoelzer说,如果有人能够通过SSH突破一个防火墙,那将成为一个大问题。
僵尸网络(Botnet)比以往任何时候威胁都大
Hoelzer说,如果你看到某些东西像这样传播,这就意味着攻击者发现了许多人在互联网上运行SSH服务器。因此,这被看作是一个诱人的攻击力量。他说,这使我担心的另一个原因是,攻击者一般不愿意浪费时间。攻击者不会随机实施扫描希望找到攻击目标。如果他们像这样扫描SSH,他们就是找到了可以利用的东西。
Cyber-Defense网站有一个从事这种行动的合法的主机列表。
僵尸电脑的影响
Hoelzer说,这些攻击是迄今为止攻击者如何利用他们劫持的电脑的另一个例子。他说,我注意到,进行扫描SSN安全漏洞的大多数电脑一般都不是真正的攻击者。这些电脑都是被黑客攻破的电脑,并且被利用扫描可以利用的安全漏洞的。对于那些希望找到攻击来源的人们来说,困难的问题不是攻击者在那里,而是被攻破的计算机在那里。
虽然僵尸电脑队伍是全球性的,但是,他看到的许多从事这种扫描活动的电脑都是来自中国、巴西和美国的被劫持的电脑。大多数这种电脑都是个人电脑或者小企业的电脑。
多种防线
Hoelzer劝告IT管理员说,如果有可能的话,要避免把SSH服务器连接到互联网。他说,我对客户说,永远不要把SSH服务器连接到互联网,也不要把做这种事情的任何管理工具连接到互联网。
Hoelzer说,如果IT部门认为非常有必要进行网络接入,应该进行非常严格的限制。如果我们限制谁可以连接到SSH,那会有很大的不同。他说:“我还告诉人们如果你必须在互联网上使用SSH服务器的话,应该使用证书进行身份识别。这会有效地阻止这种攻击。
他说,用户还可以学习Nunn的榜样,定期查看这些网络日志。他说,人们习惯于在事情发生之后才查看网络日志。这个事件表明,人们应该定期查看网络日志。人们不愿意查看网络日志是因为这项工作非常乏味。但是,有许多工具软件可以完成这项工作。在Unix环境中,Logcheck是一种很好的工具。 Swatch和SEC(安全事件关联器)也是很好的工具。 |
|
IP卡
狗仔卡
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
发表于 2005-11-9 17:20:16