科技时代新浪首页 > 科技时代 > 学园 > 正文

安全基础 基于SSH的恶意登录攻击分析(4)


http://www.sina.com.cn 2006年12月04日 09:08 天极yesky

  “成功”的恶意登录攻击

 
  在上面的分析中,我们只是分析了未成功的登录攻击。这些分析使我们长了不少见识,知道了黑客是怎样进行攻击的。但还有很多问题没解决。这些问题之一就是这些攻击是否是通过工具进行的。在7月2日,一名黑客成功地通过猜到的用户名和密码进入了蜜罐系统。被截获的数据将回答这些未解决的问题。
 
  首先让我们来看看黑客在成功登录蜜罐后做了什么。一但黑客进入蜜罐后,他们就开始以蜜罐系统作为跳板通过SSH扫描工具来扫描其它的SSH服务器。但由于蜜罐系统的网络输出已经用防火墙封死了。因此,扫描并未找到任何SSH服务器。
 
  在扫描后,黑客在蜜罐系统上安装了一个IRC服务端。黑客可以通过这个IRC服务端来控制被攻击的服务器。使用IRC工具控制服务器可比使用SSH进行登录方便多了。黑客可以通过这个工具同时控制很多这样的服务器。
 
  通过监视IRC数据流,我们发现黑客正在使用这个工具来扫描我们的B类网络。在几个小时之内,黑客通过这个工具扫描了4个B类网络,在这4个B类网络中包含了数千台SSH服务器。在扫描其间共使用了160,324个帐户和密码。这些用户名和密码和在攻击蜜罐系统时使用的用户名和密码类似,但它们的范围更广。
 
  建议
 
  在前几部分我们通过分析了解了黑客的一些企图和攻击方法。在这一部分让我们看看如何来防范他们的攻击。
其实有很多简单的方法可以阻止这些攻击。最直接的方法用是关闭daemon服务,这个服务在许多系统中默认是启动状态。当然,如果你不想这么做,那么还有其它的方法。
 
  你还可以使用Unix或Linux系统中的/etc/hosts.allow和/etc/hosts.deny文件来限制对daemon服务的访问。还可以在SSH服务器上安装一个防火墙,用于隔离内部和外部的网络。

[上一页] [1] [2] [3] [4] [5] [下一页]

本文导航:
·蜜罐的使用方法研究
·SSH恶意登录分析
·更进一步的分析
·成功的恶意登录攻击
·使SSH服务器只可以被指这的用户访问

发表评论 _COUNT_条

爱问(iAsk.com) 相关网页共约4,380,000



评论】【论坛】【收藏此页】【 】【多种方式看新闻】【下载点点通】【打印】【关闭




科技时代意见反馈留言板 电话:010-82628888-5595   欢迎批评指正

新浪简介 | About Sina | 广告服务 | 联系我们 | 招聘信息 | 网站律师 | SINA English | 会员注册 | 产品答疑

Copyright © 1996 - 2006 SINA Inc. All Rights Reserved

新浪公司 版权所有