Distributed-SSH-Attacken hebeln Blacklists aus

Mehrere Rechner probieren von verschiedenen IP-Adressen aus, sich synchronisiert mit dem gleichen Namen am SSH-Server anzumelden. Damit verhindern sie, dass übliche Tools zur Abwehr den Angriff frühzeitig erkennen und sie auf eine Blacklist setzen.

In Pocket speichern vorlesen Druckansicht 259 Kommentare lesen
Lesezeit: 1 Min.
Von
  • Daniel Bachfeld

Seit den letzten Wochen versuchen Angreifer offenbar mit verteilten Login-Versuchen auf SSH-Dienste mögliche Abwehrmaßnahmen auzuhebeln. Dabei probieren mehrere Rechner von verschiedenen IP-Adressen aus, sich synchronisiert mit dem gleichen Namen am SSH-Server anzumelden. Allerdings verwendet jeder Angriffsrechner ein eigenes Passwort aus einem Wörterbuch oder probiert eine vorberechnete Kombination aus.

Tools zur Abwehr von Angriffen auf den SSH-Server wie DenyHosts, BruteForceBlocker und fail2ban zählen üblicherweise die Zahl der Fehlversuche von einer IP-Adresse und tragen diese ab einem überschrittenen Schwellwert in eine Blacklist (meist /etc/hosts.deny) oder als Regel in die Firewall ein. Weitere Verbindungsversuche von der entfernten IP-Adresse blockt das System dann.

Mit der verteilten Attacke lässt sich jedoch verhindern, dass die Tools den Schwellwert nach wenigen Versuchen erreichen. Je nach Umfang des verteilten Angriffs, hinter dem vermutlich Botnetze stecken, lassen sich so mehrere tausend Versuche auf ein Anmelde-Konto durchführen.

Abhilfe bringt es bei diesen Angriffen unter anderem, den SSH-Port zu verlegen. Allerdings ist nicht auszuschließen, dass vor neuen Angriffe demnächst ein Portscan des Systems erfolgt und die Bots sich auf den verlegten SSH-Port einstellen. Alternativ sollten Anwender den Einsatz von kryptografischen Schlüsseln zur Authentifizierung bei SSH erwägen. (dab)