SSH Brute Force Attacke: Schreck am Morgen

Vorgestern früh lag eine Benachrichtigungsmail im Postfach: Bei unserem Hoster in Dallas hatte man festgestellt, dass von einer unserer Maschinen eventuell unerlaubter Traffic in großen Mengen ausgeht. Es handelte sich dabei vermutlich um sogenannte SSH-Brute-Force-Attacken.

Mit einer SSH-Brute-Force-Attacke versucht man Zugang zu fremden Rechnern zu erhalten. Auf fast allen Unix-ähnlichen Betriebssystemen kann man sich per SSH (Secure Shell) über das Netzwerk anmelden – vorausgesetzt, man

  1. hat einen Benutzeraccount und kennt das dazugehörige Password oder
  2. hat einen Benutzeraccount und hat einen Private-/Public-Keypaar und den Public-Key auf der entsprechenden Maschine hinterlegt.

Die zweite Möglichkeit ist eine ziemlich geniale und auch sichere Sache – hierüber dürfte es so gut wie unmöglich sein, Zugang zu einer Maschine zu erhalten, wenn man nicht im Besitz des Private-Keys ist.

Bei der ersten Variante kann man durch Probieren eventuell Zugang erlangen. Die Wahrscheinlichkeit ist bei gut gewählten Passwörtern sehr gering aber eben nicht null. Außerdem gibt es tausende Maschinen im Netz, welche Accounts mit entweder schlechten oder gar keinen Passwörtern haben.

Genau hier setzt SSH-Brute-Force an: Man baut sich ein Tool, welches automatisiert Maschinen mit vielen Anmeldeversuchen in kurzen Zeiträumen überzieht. Hierbei werden meist weit verbreitete Benutzernamen („admin“, „root“, amerikanische Vornamen o. ä.) in Verbindung mit Wörterbucheinträgen als Passwörter verwendet. Wenn diese Attacken erfolgreich sein sollen, muss man auf schiere Masse setzen: Soviele Versuche an vielen verschiedenen Maschinen in kürzestmöglicher Zeit wie nur möglich.

Also versucht man, die angesprochenen Tools vorzugsweise auf gut angebundenen Server zu platzieren. Webserver in einem Datacenter zum Beispiel.

Man hatte also die Vermutung, dass von einer unserer Maschinen in großem Stil SSH-Brute-Force-Attacken gefahren werden – das Tool könnte eventuell über eine Sicherheitslücke in alten PHP-Skripten auf die Maschine gekommen sein.

Ich war etwas verwundert – meiner Meinung nach hätte ich so etwas durchaus mitbekommen. Nach weiteren Nachfragen nannte man uns eine IP-Adresse eines vermutlich angegriffenen Rechners. Plötzlich fiel es wie Schuppen von den Augen: Es handelte sich dabei um einen von unseren Servern, welcher allerdings in einem anderen Rechenzentrum steht.

Der vermeintlich unerlaubte SSH-Traffic war eins der nächtlichen Backups. Diese werden mit rsync durch einen SSH-Tunnel übertragen. Offenbar gingen im gleichen Zeitraum tatsächlich SSH-Brute-Force-Attacken von irgendwelchen Rechnern in unserem Datacenter aus. Durch die zeitliche Überlagerung kam man zu dem Schluss, dass auch unser Backup Bestandteil der Angriffswelle sein könnte, da sich ja auch das verwendete Protokoll (SSH) gleicht …

Zum Glück sind die Jungs im Datacenter recht kompetent und nach ein, zwei Mails war die Sache geklärt. Trotzdem fährt einem erst mal der Schreck durch die Glieder, wenn einem gesagt wird, dass einer der Server vermutlich gehackt wurde und für irgendwelchen Schnickschnack missbraucht wird.

5 Gedanken zu „SSH Brute Force Attacke: Schreck am Morgen

  1. Wie heissen den solche Programme, mit den man versucht per SSH-ATTACKE auf den Server zu kommen? Ich würde es gerne mal an meinen eigenen ausprobieren.

  2. Ausprobieren kannst du da nicht viel. Es werden einfach Usernamen/Passwort-Kombinationen durchprobiert.
    Schützen kannst du dich allerdings sehr gut mit ein paar einfachen Firewallregeln, die die Angreifer-IP nach 3 Fehlversuchen für kurze Zeit (1 Minute reicht schon) sperrt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.