Wie SSH gebruikt voor remote toegang tot zijn servers of desktop is bij deze gewaarschuwd. SANS Internet Storm Center meldt dat het aantal SSH brute force aanvallen dramatisch is toegenomen. Ook onze eigen bronnen hebben de stijging bevestigd.

De aanvallen worden uitgevoerd op veelgebruikte namen van accounts, zoals root, postgres, test, oracle, nagios, student, user, admin, backup en dergelijke. Zoals we al eerder hebben opgemerkt is het een goede maatregel om zo weinig mogelijk logins op een server te hebben en deze alleen toe te staan met keys in plaats van logins.

Dat houdt de aanvallers buiten, maar je blijft zitten met het netwerkverkeer. Je kunt het IP-adres van de scanners ook blokkeren in de firewall. Standaardoplossingen voor unix-achtige systemen zijn authfail en fail2ban. Sommige beheerders laten het IP-adres slechts tijdelijk niet toe, maar anderen zijn daar wat harder in.

Bron: Techworld