Aunque no se conoce su nombre exacto, los expertos en seguridad han bautizado a este grupo como SSHPsychos y desde hace tiempo analizan el tráfico de Internet para recopilar las contraseñas SSH y así crear un diccionario. A día de hoy poseen casi 300.000 contraseñas y podrían utilizarlas para realizar ataques de fuerza bruta contra los servidores. Complementaria de Telefónica reutiliza las mismas claves SSH en su infraestructura creando un gran agujero de seguridad [ENG]
Comentarios
Los usuarios de Movistar ya podemos empezar a prepararnos
Una solución: fail2ban
A ver si el grupo "hacker" pilla la contraseña que tengo en Menéame del tipo df02439gfJDFDR4r83$$%%owrfi12384sakdfjrewrti3333
La gente ahora confunde un "hacker" con un puto Script Kiddie niñato.
http://es.wikipedia.org/wiki/Script_kiddie
Un hacker jamás atacaría un sistema, un hacker entra en un sistema y no deja rastro de su presencia, pero un pijo niñato Script Kiddie lo único que sabe hacer es aprovechar un agujero de seguridad que se hace conocido en la red para hacer ataques, pero como son gilipollas también dejan rastros y terminan en chirona.
Un auténtico y genuino hacker ni siquiera está en ningún grupo, y mucho menos le cuanta sus hazañas a nadie. El auténtico hacker es aquel que todo el mundo piensa que es el tonto del pueblo.
#3 Son algo más que script-kiddies. Son ataques distribuidos de cientos de PC zombies, probablemente windows con un virus o scipt de PHP inseguros. Empiezan a probar contraseñas desde la letra a.
Rastro dejan, porque no llegan a entrar
sshd[5431]: Invalid user default from 207.164.255.215
sshd[5431]: input_userauth_request: invalid user default [preauth]
sshd[5431]: pam_unix(sshd:auth): check pass; user unknown
sshd[5431]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= host=207.164.255.215
sshd[5431]: Failed password for invalid user default from 207.164.255.215 port 26988 ssh2
sshd[5431]: Received disconnect from 207.164.255.215: 11: Bye Bye [preauth]
sshd[5433]: Address 207.164.255.215 maps to webmail.expandenergy.ca, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT!
Entrar no entran, pero si te llegan dos conexiones por segundo, te joden el ancho de banda.
Me parece un buen artículo. Creo que la problemática al respecto de estos ataques no es el ataque en sí sino lo mal preparados que están muchos servidores para lidiar con ataques que no son precisamente siempre de botnets ni de gran complejidad a pesar de la variación de IPs y países. La actitud común en estos casos es banear cuando hay varios fallos consecutivos.
La mayoría de empresas de hosting se preocupa poco sobre este tema y es que realmente no necesitan de muchos conocimientos para añadir ciertas reglas al ModSecurity sobre logins attempts desde peticiones HTTP, bloquear escaneo de puertos o utilizar ciertas herramientas y configuraciones para filtrar comportamientos o patrones anormales evitando que sean falsos positivos ya que si no es matar moscas a cañonazos.
Y es cierto el comentario sobre el tipo de personas que hacen esto, creo que la mayoría de hackers (no solo aquellos éticos) no se dedican a este tipo de acciones sino que suelen tener objetivos más específicos y dirigidos ya sea por cuestiones de trabajo o de seguridad o por razones ideológicas muy concretas y no jugar a tumbar páginas o implantar mailbots para mensajitos de Viagra.