2008-12-12

新的SSH攻擊方法 - 黑名單無效

目前好像有新的攻擊SSH密碼(brute force)的方法:用botnet。一般,有人會從某一台電腦連到你的主機,然後從一個辭典讀帳號跟密碼試在你的主機登入。當然,大部分的帳號根本不存在,所以系統會一直拒絕他。這時候你可以用像DenyHostsfail2ban的軟體判定怎樣的登入失敗算攻擊,系統要怎麼反應。

我自己平常裝fail2ban在我管的主機,允許使用者(因為還有別人在用那些主機)兩次打錯帳號或密碼,第三次失敗之後從那個IP一段時間沒有辦法再登入。可惜,新的攻擊讓這個措施無效:新的攻擊會把辭典的資料分散到一個botnet所有的電腦,然後讓每一台電腦只測一個或兩個帳號的資料。這樣他們可以測很多帳號,但是都是從不同IP來的。

針對這個攻擊有效的防止方法好像只有兩種:最好的是用SSH key,不然就要把密碼條件設定到“比較安全”的水準:一定的長度,文字、數字、符號都要。你最好多一點觀查你的主機……

0 comments: