В заметке "Rickrolled? Get Ready for the Hail Mary Cloud!"(http://bsdly.blogspot.com/2009/11/rickrolled-get-ready-for-hail-mary.html) рассказано о новой распределенной ботнет-сети, специализирующейся на проникновении путем подбора паролей через SSH. Классические методы блокирования "brute force" атак слабо помогают против новой сети, так как с одного IP адреса производится лишь несколько попыток проверки - в подборе участвуют несколько тысяч машин, каждая из которых перебирает относительно небольшой диапазон вариантов перебора. Поставленный эксперимент показал, что к одной из тестовых машин была зафиксирована однородная активность по подбору типовых паролей с 1767 хостов, трафик с которых не носил аномальный характер, а был равномерно распределен во времени, не достигая порога реагирования со стороны систем по блокированию атак. Несмотря на кажущуюся абсурдность идеи подбора паролей, неуклонный рост числа хостов ботнета показывает, что сеть не испытывает недостатка в хостах с типовыми или заведенными по умолчанию аккаунтами. Для повышения безопасности можно порекомендовать оставить вход по SSH только для доверительных сетей (через пакетный фильтр, /etc/hosts.allow или директиву "AllowUsers логин@маска_сети логин2@маска_сети2..." в файле конфигурации /etc/ssh/sshd_config). Если необходимо оставить SSH публичным, имеет смысл перенести сервис на нестандартный сетевой порт ("Port N" или "ListenAddress IPort"). Кроме того, следует убедиться, что в конфигурации запрещен прямой вход пользователя root (PermitRootLogin no). 16.11.2009 http://www.opennet.ru/opennews/art.shtml?num=24276
только недавно думал об этой методике и тут бац, уже реализована Прям все как я обдумывал только я думал не столько о росте ботнета как о том что с такого ботнета можно брутить любой сервис, и неодна защита непоможет, главно чтоб машин в ботнете было побольше.
Ды уж..им ещё осталось нестандартные порты "завоевать" ну и так..На данный момент, так на вскидку, от этого всего можно легко защититься..
Все новое хорошо забытое старое! Отличается оно от старого только тем что трафик равномерно распределятся.
пароли от ~10% всех существующих в мире учетных записей входят именно в 10к самых частоиспользуемых - несмотря на то, что всего в мире используется в пределах 100 миллионов паролей И это - хотя и приблизительные, но факты идея довольно хороша
Ну маразм крепчал. Кто то тут предлагал накодить MSSQL скрипт для захвата серверов через брут sa аккаунта)
Давно уже... Root напрямую во бзде отключен(а в России в основном бздя в отличие от Европы), так что нестрашно. По собственному опыту могу сказать, что перебирают 3-4 раза в минуту, а мой робот отправляет владельцам AS айпишники взломанных машин. Плюс можно поставить root test и легко получить приватный софт по подбору паролей, Honey Net уважаемые =)