专栏首页腾讯云安全的专栏解读︱SSH 暴力破解攻击瞄准这类用户,小心你的设备被利用挖矿

解读︱SSH 暴力破解攻击瞄准这类用户,小心你的设备被利用挖矿

你能想象有一天,家里的大门随时被轻易打开,然后被盗窃、放炸弹、装偷听器等等吗?如果你服务器的SSH 服务被破解,服务器就会遇到上述安全问题,只是服务器被盗走的是比金钱更贵重的东西——数据,与炸弹破坏力相当的是木马病毒,而被入侵后则像是在你家装了偷听器与摄像头,监视着你的一举一动,甚至操纵着它,比如删掉你的所有数据。物联网设备也未能幸免。

SSH 暴力破解

是一种对远程登录设备(比如云服务器)的暴力攻击,该攻击会使用各种用户名、密码尝试登录设备,一旦成功登录,便可获得设备权限。据腾讯云云鼎实验室统计:SSH 暴力破解攻击已遍布全球160多个国家,该攻击主要瞄准使用默认账号密码的用户。

由于虚拟货币的兴起,攻击者不再仅仅利用通过 SSH 暴力破解控制的设备来进行 DDoS 攻击,还用来挖矿,牟取利益。

《SSH 暴力破解趋势:从云平台向物联网设备迁移 》正是腾讯云于近日发布的2018上半年安全专题系列研究报告之一。

该系列报告围绕云上用户最常遭遇的安全威胁展开,用数据统计揭露攻击现状,通过强大的溯源能力还原攻击者手法,让企业用户与其他用户在应对攻击时有迹可循,并为其提供可靠的安全指南。

所以,接下来我们针对这一期报告划重点——提醒用户如何更加有效地堤防SSH 暴力破解:

 您是属于容易中招的用户群吗?

 DDoS 类型恶意文件占比近七成,攻击者利用恶意样本「一路赚钱」挖矿

 主要攻击目标正从云平台向物联网设备迁移

 攻击源区域分布

SSH暴力破解攻击瞄准这类用户,

看看你躺枪了没?

《报告》指出,SSH 暴力破解攻击目标主要分为 Linux 服务器(包括传统服务器、云服务器等)与物联网设备。近期统计的 SSH 暴力破解登录数据分析发现

接近99%的 SSH 暴力破解攻击是针对系统默认的用户名, admin、root、test占据榜单前三

攻击最常用弱密码前三名分别是 admin、 password、 root,占攻击次数的98.70%

 约85%的 SSH 暴力破解攻击使用了admin / admin 与 admin / password 这两组用户名密码组合。

△ 攻击者所使用的SSH 暴力破解攻击字典 Top 20

根据上图所示,大量 SSH 暴力破解攻击使用了 admin / admin 与 admin / password 这两组用户名密码组合,而这两组用户名密码组合,正是路由器最常用的默认用户名密码组合。

由此可知,使用上述默认配置的路由器设备已成为攻击的主要目标

DDoS 类型恶意文件占比近七成, 攻击者利用恶意样本「一路赚钱」挖矿

SSH暴力破解攻击后,攻击者对服务器植入恶意文件,分析发现,攻击成功后多数都是植入 ELF 可执行文件。植入的恶意文件中反病毒引擎检测到病毒占比43.05%,病毒文件中属 DDoS 类型的恶意文件最多,接近70%,包括 Ganiw、 Dofloo、Mirai、 Xarcen、 PNScan、 LuaBot、 Ddostf 等家族。另外,仅从这批恶意文件中,就发现了比特币等挖矿程序占5.21%。

《报告》中还对2018年6月10日7点12分发现的一次 SSH 暴力破解攻击进行了溯源分析,在暴力攻击后,攻击者在设备中植入了DDoS 家族的 Ddostf 僵尸程序和「一路赚钱」恶意挖矿程序这两个恶意样本。

被植入的”一路赚钱”64位 Linux 客户端压缩包解压后自动运行客户端主程序 mservice 并注册为 Linux 系统服务,该客户端文件夹中有三个可执行文件 mservice / xige/ xig,其中mservice 负责账号登录/设备注册/上报实时信息,而xige 和 xig负责挖矿, xige 挖以太币 ETH,xig 挖门罗币 XMR。

《报告》指出,此次 SSH 暴力破解攻击中,攻击者不仅利用僵尸程序发动 DDoS 牟取利益,同时在设备空闲时还可进行挖矿,达到设备资源的最大利用。另外,随着“一路赚钱”这种小白挖矿程序的兴起,降低了挖矿的技术难度,未来可能会出现更多类似事件。

主要攻击目标正从云平台向物联网设备迁移,

用户需自查设备清理可疑程序

对 SSH 暴力破解攻击进行综合分析后,《报告》指出,物联网的发展使设备数量呈现出指数级增长,物联网设备也逐渐成为主要的攻击目标。未来攻击者还将继续租用国外的服务器进行大规模攻击。

攻击源地域:遍布全球160多个国家

由《报告》可知,云鼎实验室最近统计到的SSH 暴力破解攻击来自160多个国家。从攻击的源 IP 来看,来自中国的攻击源 IP 最多,占比达到26.7%,巴西、越南、美国不相上下。在国内,攻击源 IP 分布广泛且平均,没有出现攻击源 IP 特别集中的省市。这是因为攻击者为了隐藏自己真实位置,躲避追踪,使用了不同地区的 IP 进行攻击。

针对这种情况,《报告》为技术型用户与普通用户提供了几种不同的安全建议:

对于技术型用户来说,用户可以对自己的设备进行定期自查,检查是否有可疑程序运行并及时清理;

①设备的 SSH 服务仅开放密钥验证方式,禁止root 用户登录,修改默认端口;

②修改默认密码,新密码最少8位,且包含大小写字母、数字、特殊字符。并检查是否使用了文中提到的弱密码。若使用了弱密码,也需要修改密码,加强安全性。

普通用户则需要选择可靠的安全防护产品,对数据安全进行保护。

腾讯云云镜专业版提供的密码破解拦截、异常登录提醒、木马文件查杀、高危漏洞检测等安全功能,能够解决当前设备面临的主要安全风险,帮助企业构建服务器安全防护体系,防止数据泄露,为企业有效预防安全威胁,减少因安全事件所造成的损失。

本文分享自微信公众号 - 腾讯云安全(TencentCloudSecurity)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2018-07-19

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 一起来听云鼎实验室讲师聊 DDoS 攻防 | CSS 2018云安全分论坛续集

    | 授权转载自 FreeBuf 人工智能、云计算、大数据等新技术,深刻地影响着互联网世界。在此背景下,网络安全面临的威胁也在不断变化升级。腾讯云副总裁黎巍也...

    腾讯云安全
  • 一场挑衅还是利益诱惑?腾讯云与法律都不容许

    腾讯云安全
  • 年关将至,一起近T级别DDoS攻击来袭

    2018年已接近尾声,回顾这一年,网络安全事件频频爆发,上半年的一起Memcached DDoS攻击的峰值达到1.7 Tbps!创下历史最高纪录。这背后折射出...

    腾讯云安全
  • AI一分钟 | 北京发放自动驾驶首批牌照,百度获准测试;亿航美国分公司申请破产,债务高达数百万美元

    整理 | 费棋 一分钟AI 北京市自动驾驶测试管理联席工作小组向百度发放了北京市首批自动驾驶测试试验用临时号牌,自动驾驶测试车辆开始正式上路测试。 贾跃亭亮相美...

    AI科技大本营
  • 神奇!AI一手包办了整张死亡金属专辑

    从音乐创作到封面设计,这张专辑完全由人工智能完成。感到一颗赛艇了吗?

    人工智能的秘密
  • 一张完整的死亡金属专辑发布,没错,从头到尾来自AI

    维金 编译自 thenextweb 量子位 出品 | 公众号 QbitAI ? 一张死亡金属专辑发布啦! 从音乐创作到封面设计,这张专辑完全由人工智能完成。...

    量子位
  • CSS日常踩坑后的总结(猜测你也会遇到的,持续更新。。。)

    可以用left:50%加上margin-left:-(宽度/2),来实现绝对定位的水平居中,这里的宽度指的是设置为绝对定位的元素的宽度

    Ewall
  • SSH Secure Shell Client中文乱码的解决方法

    这是SSH Secure Shell Client多年未解决的短板,要求客户端和服务器端都要‘UTF-8’编码,Windows中文版的编码是非UTF-8。zh_...

    用户1191760
  • 【MySQL】mysql死锁以及死锁日志分析

    死锁:死锁一般是事务相互等待对方资源,最后形成环路造成的。 对于死锁,数据库处理方法:牺牲一个连接,保证另外一个连接成功执行。 发生死锁会返回ERR...

    用户5522200
  • 用Python爬虫下载整本小说

    如今网络上很多小说网站都有免费的小说阅读,但是它不提供下载全本的服务,目的也是为了获得更多的流量,资源君就不服了,今天刚好看到一个小说网站,就想弄本小说来看看,...

    Python进击者

扫码关注云+社区

领取腾讯云代金券