SSH暴力破解攻擊遍布全球，看看你中招了嗎？

發(fā)布時(shí)間：2024-04-30

你能想象有一天，家里的大門(mén)隨時(shí)被輕易打開(kāi)，然后被盜竊、放炸彈、裝偷聽(tīng)器等等嗎？如果你服務(wù)器的ssh 服務(wù)被破解，服務(wù)器就會(huì)遇到上述安全問(wèn)題，只是服務(wù)器被盜走的是比金錢(qián)更貴重的東西——數(shù)據(jù)，與炸彈破壞力相當(dāng)?shù)氖悄抉R病毒，而被入侵后則像是在你家裝了偷聽(tīng)器與攝像頭，監(jiān)視著你的一舉一動(dòng)，甚至操縱著它，比如刪掉你的所有數(shù)據(jù)。物聯(lián)網(wǎng)設(shè)備也未能幸免。
ssh 暴力破解是一種對(duì)遠(yuǎn)程登錄設(shè)備（比如云服務(wù)器）的暴力攻擊，該攻擊會(huì)使用各種用戶名、密碼嘗試登錄設(shè)備，一旦成功登錄，便可獲得設(shè)備權(quán)限。目前，ssh 暴力破解攻擊已遍布全球160多個(gè)國(guó)家，該攻擊主要瞄準(zhǔn)使用默認(rèn)賬號(hào)密碼的用戶。由于虛擬貨幣的興起，攻擊者不再僅僅利用通過(guò) ssh 暴力破解控制的設(shè)備來(lái)進(jìn)行ddos攻擊，還用來(lái)挖礦，牟取利益。
所以，接下來(lái)我們針對(duì)本期內(nèi)容劃重點(diǎn)，提醒用戶如何更加有效地堤防ssh暴力破解：
您是屬于容易中招的用戶群?jiǎn)幔?br>ddos 類型惡意文件占比近七成，攻擊者利用惡意樣本「一路賺錢(qián)」挖礦
主要攻擊目標(biāo)正從云平臺(tái)向物聯(lián)網(wǎng)設(shè)備遷移
攻擊源區(qū)域分布
ssh暴力破解攻擊瞄準(zhǔn)這類用戶，看看你中招了沒(méi)？
ssh 暴力破解攻擊目標(biāo)主要分為 linux 服務(wù)器（包括傳統(tǒng)服務(wù)器、云服務(wù)器等）與物聯(lián)網(wǎng)設(shè)備。近期統(tǒng)計(jì)的 ssh 暴力破解登錄數(shù)據(jù)分析發(fā)現(xiàn)：
1、接近99%%u7684 ssh 暴力破解攻擊是針對(duì)系統(tǒng)默認(rèn)的用戶名， admin、root、test占據(jù)榜單前三；
2、攻擊最常用弱密碼前三名分別是 admin、 password、 root，占攻擊次數(shù)的98.70%%uff1b
3、約85%%u7684 ssh 暴力破解攻擊使用了admin / admin 與 admin / password 這兩組用戶名密碼組合。
△ 攻擊者所使用的 ssh 暴力破解攻擊字典 top 20
根據(jù)上圖所示，大量 ssh 暴力破解攻擊使用了 admin / admin 與 admin / password 這兩組用戶名密碼組合，而這兩組用戶名密碼組合，正是路由器最常用的默認(rèn)用戶名密碼組合。由此可知，使用上述默認(rèn)配置的路由器設(shè)備已成為攻擊的主要目標(biāo)。
ddos類型惡意文件占比近七成，攻擊者利用惡意樣本「一路賺錢(qián)」挖礦
ssh暴力破解攻擊后，攻擊者對(duì)服務(wù)器植入惡意文件，分析發(fā)現(xiàn)，攻擊成功后多數(shù)都是植入 elf 可執(zhí)行文件。植入的惡意文件中反病毒引擎檢測(cè)到病毒占比43.05%%uff0c病毒文件中屬 ddos 類型的惡意文件最多，接近70%%uff0c包括 ganiw、 dofloo、 mirai、 xarcen、 pnscan、 luabot、 ddostf 等家族。另外，僅從這批惡意文件中，就發(fā)現(xiàn)了比特幣等挖礦程序占5.21%%u3002
在對(duì)2018年06月10日7點(diǎn)12分發(fā)現(xiàn)的一次 ssh 暴力破解攻擊進(jìn)行溯源分析發(fā)現(xiàn)，在暴力攻擊后，攻擊者在設(shè)備中植入了 ddos 家族的 ddostf 僵尸程序和「一路賺錢(qián)」惡意挖礦程序這兩個(gè)惡意樣本。
被植入的「一路賺錢(qián)」64位 linux 客戶端壓縮包解壓后自動(dòng)運(yùn)行客戶端主程序 mservice 并注冊(cè)為 linux 系統(tǒng)服務(wù)，該客戶端文件夾中有三個(gè)可執(zhí)行文件 mservice / xige / xig，其中mservice 負(fù)責(zé)賬號(hào)登錄/設(shè)備注冊(cè)/上報(bào)實(shí)時(shí)信息，而xige 和 xig負(fù)責(zé)挖礦， xige 挖以太幣 eth，xig 挖門(mén)羅幣 xmr。
此次 ssh 暴力破解攻擊中，攻擊者不僅利用僵尸程序發(fā)動(dòng) ddos 牟取利益，同時(shí)在設(shè)備空閑時(shí)還可進(jìn)行挖礦，達(dá)到設(shè)備資源的最大利用。另外，隨著「一路賺錢(qián)」這種小白挖礦程序的興起，降低了挖礦的技術(shù)難度，未來(lái)可能會(huì)出現(xiàn)更多類似事件。
主要攻擊目標(biāo)正從云平臺(tái)向物聯(lián)網(wǎng)設(shè)備遷移，用戶需自查設(shè)備清理可疑程序
對(duì) ssh 暴力破解攻擊進(jìn)行綜合分析后，研究還指出，物聯(lián)網(wǎng)的發(fā)展使設(shè)備數(shù)量呈現(xiàn)出指數(shù)級(jí)增長(zhǎng)，物聯(lián)網(wǎng)設(shè)備也逐漸成為主要的攻擊目標(biāo)。未來(lái)攻擊者還將繼續(xù)租用國(guó)外的服務(wù)器進(jìn)行大規(guī)模攻擊。
攻擊源地域：遍布全球160多個(gè)國(guó)家
最近統(tǒng)計(jì)到的ssh 暴力破解攻擊來(lái)自160多個(gè)國(guó)家。從攻擊的源 ip 來(lái)看，來(lái)自中國(guó)的攻擊源 ip 最多，占比達(dá)到26.7%%uff0c巴西、越南、美國(guó)不相上下。在國(guó)內(nèi)，攻擊源 ip 分布廣泛且平均，沒(méi)有出現(xiàn)攻擊源 ip 特別集中的省市。這是因?yàn)楣粽邽榱穗[藏自己真實(shí)位置，躲避追蹤，使用了不同地區(qū)的 ip 進(jìn)行攻擊。
針對(duì)這種情況，我們?yōu)榧夹g(shù)型用戶與普通用戶提供了幾種不同的安全建議：
對(duì)于技術(shù)型用戶來(lái)說(shuō)，用戶可以對(duì)自己的設(shè)備進(jìn)行定期自查，檢查是否有可疑程序運(yùn)行并及時(shí)清理；設(shè)備的 ssh 服務(wù)僅開(kāi)放密鑰驗(yàn)證方式，禁止 root 用戶登錄，修改默認(rèn)端口；修改默認(rèn)密碼，新密碼最少8位，且包含大小寫(xiě)字母、數(shù)字、特殊字符。并檢查是否使用了文中提到的弱密碼。若使用了弱密碼，也需要修改密碼，加強(qiáng)安全性。普通用戶則需要選擇可靠的安全防護(hù)產(chǎn)品，對(duì)數(shù)據(jù)安全進(jìn)行保護(hù)。