[HaBo]

rat · 12.08.10, 15:38

Der Bot dd_ssh sorgt laut dem ISC (Internet Storm Center) derzeit für eine erhöhte Anzahl von Brute-Force-Angriffen auf SSH-Zugänge. Die Betreiber des Botnetzes schleusen das Script vermutlich über eine phpMyAdmin-Lücke in das System ein und nutzen das Eroberte System dann für SSH-Attacken. Die Lücke ist bereits ein Jahr alt und betrifft folgende phpMyAdmin-Versionen 2.11.x vor 2.11.9.5 sowie 3.x vor 3.1.3.1.

Durch den Einsatz eines sehr großen Botnets mit einer Vielzahl von verschiedenen IP-Adressen können die Herder sogar unter dem Radar der Filterlösungen fliegen, wenn von jeder IP eines Bots nur wenige Login-Versuche ausgehen. Dadurch wird der Schwellenwert nicht erreicht, ab dem die Filter blockieren. Schützen kann man sich am ehesten mit gemeinschaftlichen Blacklists aus der Cloud, die man mit Scripten wie DenyHosts. Die Grundvoraussetzung dafür ist allerdings ein sicheres – wenn auch unbequemes – Passwort.

Quelle: heisec.de

**bitmuncher** · 12.08.10, 16:38

Korrektur: dd_ssh ist kein Bot sondern ein SSH-Bruteforcer, der von Bots gesteuert wird. In den meisten Fällen tritt er mit dem ShellBOT vom Atrix-Team und dem TeaMrx Perlbot vS xeQT auf, die sich zumeist als Webserver-Prozess tarnen. Der Bruteforcer wird nicht nur vermutlich über eine phpmyadmin-Lücke eingeschleust, sondern ziemlich sicher. Hat sich bei mir bereits in einigen Honeypots verfangen. Einer der Angreifer, der Perl-Bots einsetzt, ist recht einfach zu lokalisieren. Er hat einen IRC-Server auf 87.106.208.211 und sitzt dort im Channel #craig1, wo sich auch seine Bots melden. Sein Username ist dort craig. Die Lücke ist auch kein Jahr alt, sondern wurde im Februar das erste Mal gemeldet. Die genutzte Lücke kann man sich übrigens unter http://bitmuncher-linux.de/files/phpmyadmincresh etwas genauer anschauen. Schützen kann man sich am einfachsten vor der Lücke indem man die setup.php im phpmyadmin löscht oder ein htaccess davor hängt. Der dd_ssh nutzt übrigens eine Delay von 3-6 Sekunden zwischen seinen Anfragen, bruteforced aber immer wieder die gleichen IPs, bis er seine Wordlisten abgearbeitet hat.

Edit: Ein weiterer Schutz ist natürlich das Temp-Verzeichnis von PHP mit noexec zu mounten.

Anzeige

- Anzeige -

rat · 12.08.10, 23:03

Sehr gute ergänzung,ich hatte nur die heise Quelle und deins ist eine super ergänzung.

Anzeige

- Anzeige -

12.08.10, 15:38	#1 (permalink)
rat Registriert seit: 22.01.10 Likes: 20	dd_ssh Botnet Anzeige Der Bot dd_ssh sorgt laut dem ISC (Internet Storm Center) derzeit für eine erhöhte Anzahl von Brute-Force-Angriffen auf SSH-Zugänge. Die Betreiber des Botnetzes schleusen das Script vermutlich über eine phpMyAdmin-Lücke in das System ein und nutzen das Eroberte System dann für SSH-Attacken. Die Lücke ist bereits ein Jahr alt und betrifft folgende phpMyAdmin-Versionen 2.11.x vor 2.11.9.5 sowie 3.x vor 3.1.3.1. Durch den Einsatz eines sehr großen Botnets mit einer Vielzahl von verschiedenen IP-Adressen können die Herder sogar unter dem Radar der Filterlösungen fliegen, wenn von jeder IP eines Bots nur wenige Login-Versuche ausgehen. Dadurch wird der Schwellenwert nicht erreicht, ab dem die Filter blockieren. Schützen kann man sich am ehesten mit gemeinschaftlichen Blacklists aus der Cloud, die man mit Scripten wie DenyHosts. Die Grundvoraussetzung dafür ist allerdings ein sicheres – wenn auch unbequemes – Passwort. Quelle: heisec.de __________________ evil loves to party http://ratnetw0rk.blogspot.com

12.08.10, 16:38	#2 (permalink)
bitmuncher Moderator Registriert seit: 30.09.06 Likes: 442	Korrektur: dd_ssh ist kein Bot sondern ein SSH-Bruteforcer, der von Bots gesteuert wird. In den meisten Fällen tritt er mit dem ShellBOT vom Atrix-Team und dem TeaMrx Perlbot vS xeQT auf, die sich zumeist als Webserver-Prozess tarnen. Der Bruteforcer wird nicht nur vermutlich über eine phpmyadmin-Lücke eingeschleust, sondern ziemlich sicher. Hat sich bei mir bereits in einigen Honeypots verfangen. Einer der Angreifer, der Perl-Bots einsetzt, ist recht einfach zu lokalisieren. Er hat einen IRC-Server auf 87.106.208.211 und sitzt dort im Channel #craig1, wo sich auch seine Bots melden. Sein Username ist dort craig. Die Lücke ist auch kein Jahr alt, sondern wurde im Februar das erste Mal gemeldet. Die genutzte Lücke kann man sich übrigens unter http://bitmuncher-linux.de/files/phpmyadmincresh etwas genauer anschauen. Schützen kann man sich am einfachsten vor der Lücke indem man die setup.php im phpmyadmin löscht oder ein htaccess davor hängt. Der dd_ssh nutzt übrigens eine Delay von 3-6 Sekunden zwischen seinen Anfragen, bruteforced aber immer wieder die gleichen IPs, bis er seine Wordlisten abgearbeitet hat. Edit: Ein weiterer Schutz ist natürlich das Temp-Verzeichnis von PHP mit noexec zu mounten. __________________ Mein Blog - Mein Job - Diaspora Der Ring uns zu knechten besteht aus 12 Sternen auf blauem Grund. Neue Beiträge im Habo via Twitter - Das HaBo auf FB - Das HaBo bei G+

12.08.10, 23:03	#3 (permalink)
rat Themenstarter Registriert seit: 22.01.10 Likes: 20	Sehr gute ergänzung,ich hatte nur die heise Quelle und deins ist eine super ergänzung. __________________ evil loves to party http://ratnetw0rk.blogspot.com

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

LinkBacks (?) LinkBack to this Thread: http://www.hackerboard.de/news-ankuendigungen/42105-dd_ssh-botnet.html
Erstellt von	For	Type	Datum
debianforum.de • Thema anzeigen - Apache f	This thread	Refback	09.11.10 05:37
debianforum.de • Thema anzeigen - Apache f	This thread	Refback	10.09.10 19:43
debianforum.de • Thema anzeigen - Apache f	This thread	Refback	23.08.10 12:53

[HaBo]

dd_ssh Botnet