За последний месяц 4 раза пришлось стокнуться с тем, что у моих знакомых завирусовались сайты. Анализ ситуации выявил то, что знакомые используя, доступные нынче и удобные VDS хостинги, подвергались взлому сервера с установкой на сервере различного ПО, с помощью которого взломанные сервера учавствовали в DDOS атаках, рассылках спама и встаривание вирусов в страницы сайта. Но сейчас, кроме очевидной проблемы взлома домашних виндовс компьютеров администраторов хостинга с кражей пароля или ключей от хостинга появилась новая проблема -- успешный брутфорс пароля ssh сервера.
Если раньше, каждые 30 секунд кто-то брутфорсил пароль сервера то это решалось путём манипуляцией с именем пользователя и установкой специальных скриптов (типа DenyHost) которые мониторили логи и блокировали после каждого 3 или 5 неудачного подключения в фаерволе. С С помощью такого простого метода админы добавилась того, что у брутфорсера было ограниченное число попыток подбора пароля и сервера стояли. Но сейчас, глядя в логи серверов, становится очевидно, что брутфорсят пароли с помощью ботнетов и технология DenyHost не справляется. Недавно увидел, как после 6 месяцев брутфорса сломали хостинг сайта кафедры одного уважаемого университета, после чего сайт был выключен на несколько месяцев. Анализ логов показал, что каждые 30 секунд, с нового адреса идёт очередной брутфорс запрос, затем после успешного входа возникается пауза, затем через день опять с нового адреса короткое подключение, а затем ещё через день и опять с нового адреса sftp команда заливающая sfewfesfs
То-есть, выходит что даже регулярные обновления, смена паролей и защитные системы анализирующие состояние ОС не способны сопротивляться массированным анонимным запросам и остаётся либо в припадке паронойи отключать SSH, FTP, закрывать бизнес либо искать какое то новое решение. Потому что даже если будешь менять пароли каждые 5 минут, то всё равно есть вероятность, что следующий брутфорс запрос подберёт только что введённый тобой пароль.
Возможно нужно посмотреть в сторону крипто ключей, когда для авторизации в каком либо сервисе используется аппаратный ключ, доступ к которому есть только у админа, а возможно уже есть какие то готовые решения
Комментариев 0