Security dd_ssh Botnet

Der Bot dd_ssh sorgt laut dem ISC (Internet Storm Center) derzeit für eine erhöhte Anzahl von Brute-Force-Angriffen auf SSH-Zugänge. Die Betreiber des Botnetzes schleusen das Script vermutlich über eine phpMyAdmin-Lücke in das System ein und nutzen das Eroberte System dann für SSH-Attacken. Die Lücke ist bereits ein Jahr alt und betrifft folgende phpMyAdmin-Versionen 2.11.x vor 2.11.9.5 sowie 3.x vor 3.1.3.1.

Durch den Einsatz eines sehr großen Botnets mit einer Vielzahl von verschiedenen IP-Adressen können die Herder sogar unter dem Radar der Filterlösungen fliegen, wenn von jeder IP eines Bots nur wenige Login-Versuche ausgehen. Dadurch wird der Schwellenwert nicht erreicht, ab dem die Filter blockieren. Schützen kann man sich am ehesten mit gemeinschaftlichen Blacklists aus der Cloud, die man mit Scripten wie DenyHosts. Die Grundvoraussetzung dafür ist allerdings ein sicheres – wenn auch unbequemes – Passwort.

Quelle: heisec.de

Korrektur: dd_ssh ist kein Bot sondern ein SSH-Bruteforcer, der von Bots gesteuert wird. In den meisten Fällen tritt er mit dem ShellBOT vom Atrix-Team und dem TeaMrx Perlbot vS xeQT auf, die sich zumeist als Webserver-Prozess tarnen. Der Bruteforcer wird nicht nur vermutlich über eine phpmyadmin-Lücke eingeschleust, sondern ziemlich sicher. Hat sich bei mir bereits in einigen Honeypots verfangen. Einer der Angreifer, der Perl-Bots einsetzt, ist recht einfach zu lokalisieren. Er hat einen IRC-Server auf 87.106.208.211 und sitzt dort im Channel #craig1, wo sich auch seine Bots melden. Sein Username ist dort craig. Die Lücke ist auch kein Jahr alt, sondern wurde im Februar das erste Mal gemeldet. Die genutzte Lücke kann man sich übrigens unter http://bitmuncher-linux.de/files/phpmyadmincresh etwas genauer anschauen. Schützen kann man sich am einfachsten vor der Lücke indem man die setup.php im phpmyadmin löscht oder ein htaccess davor hängt. Der dd_ssh nutzt übrigens eine Delay von 3-6 Sekunden zwischen seinen Anfragen, bruteforced aber immer wieder die gleichen IPs, bis er seine Wordlisten abgearbeitet hat.

Edit: Ein weiterer Schutz ist natürlich das Temp-Verzeichnis von PHP mit noexec zu mounten.

Sehr gute ergänzung,ich hatte nur die heise Quelle und deins ist eine super ergänzung.