De acordo com uma série de relatórios [2] [3], o bot dd_ssh é o atual responsável pelo aumento nos ataques de força bruta para conexões SSH. Essa botnet, aparentemente, está se expandindo ao injetar um script via uma vulnerabilidade no phpMyAdmin na máquinas. A seguir, utilizando esses computadores comprometidos, efetua ataques SSH em massa. O pior é que essa vulnerabilidade já tem um ano de idade, e afeta apenas versões desatualizadas do phpMyAdmin, nas versões da série 2.11.x anteriores a 2.11.9.5, e nas versões 3.x anteriores a 3.1.3.1.
Ao utilizar essa enorme botnet, e conseqüentemente, um grande número de endereços IP, fazendo com que cada bot da rede efetue apenas algumas tentativas de login, eles conseguem manter seus ataques sem que as soluções de filtragem percebam o que está acontecendo. A melhor maneira de se proteger desses ataques é utilizar uma blacklist compartilhada da nuvem, que pode ser importada de forma automática por um script como o DenyHosts. Claro que a segurança mais básica de todas já deveria estar sendo tomada, que é o uso de senhas seguras nos sistemas, mesmo que isso possa parecer inconveniente.
Mas nós vamos dar algumas dicas, que valem para qualquer sistema onde é preciso utilizar login e senha para acesso (computador, e-mail, redes sociais, fóruns, banco). Afinal, não temos que nos preocupar apenas com a segurança de nossos sistemas via ataques SSH.
Notícias Relacionadas:
- Criando e Protegendo Senhas Seguras
Saiba Mais:
[1] Heise Online: http://www.h-online.com/security/new...s-1057642.html
[2] Relatório da ISC: http://isc.sans.edu/diary.html?storyid=9370
[3] Relatório da MalwareCity: http://www.malwarecity.com/community...showtopic=1177