安全基础 基于SSH的恶意登录攻击分析(4) | ||||||||
---|---|---|---|---|---|---|---|---|
http://www.sina.com.cn 2006年12月04日 09:08 天极yesky | ||||||||
“成功”的恶意登录攻击 在上面的分析中,我们只是分析了未成功的登录攻击。这些分析使我们长了不少见识,知道了黑客是怎样进行攻击的。但还有很多问题没解决。这些问题之一就是这些攻击是否是通过工具进行的。在7月2日,一名黑客成功地通过猜到的用户名和密码进入了蜜罐系统。被截获的数据将回答这些未解决的问题。
首先让我们来看看黑客在成功登录蜜罐后做了什么。一但黑客进入蜜罐后,他们就开始以蜜罐系统作为跳板通过SSH扫描工具来扫描其它的SSH服务器。但由于蜜罐系统的网络输出已经用防火墙封死了。因此,扫描并未找到任何SSH服务器。
在扫描后,黑客在蜜罐系统上安装了一个IRC服务端。黑客可以通过这个IRC服务端来控制被攻击的服务器。使用IRC工具控制服务器可比使用SSH进行登录方便多了。黑客可以通过这个工具同时控制很多这样的服务器。
通过监视IRC数据流,我们发现黑客正在使用这个工具来扫描我们的B类网络。在几个小时之内,黑客通过这个工具扫描了4个B类网络,在这4个B类网络中包含了数千台SSH服务器。在扫描其间共使用了160,324个帐户和密码。这些用户名和密码和在攻击蜜罐系统时使用的用户名和密码类似,但它们的范围更广。
建议
在前几部分我们通过分析了解了黑客的一些企图和攻击方法。在这一部分让我们看看如何来防范他们的攻击。
其实有很多简单的方法可以阻止这些攻击。最直接的方法用是关闭daemon服务,这个服务在许多系统中默认是启动状态。当然,如果你不想这么做,那么还有其它的方法。
你还可以使用Unix或Linux系统中的/etc/hosts.allow和/etc/hosts.deny文件来限制对daemon服务的访问。还可以在SSH服务器上安装一个防火墙,用于隔离内部和外部的网络。
|