攻击者在互联网进行大规模扫描 SSH 私钥活动 - 开源中国社区
攻击者在互联网进行大规模扫描 SSH 私钥活动
局长 2017年10月22日

攻击者在互联网进行大规模扫描 SSH 私钥活动

局长 局长 发布于2017年10月22日 收藏 9

有免费的MySQL,为什么还要买? >>>  

美国 WordPress 安全公司 Wordfence 发现,攻击者在网上大规模扫描包含 SSH 私钥的网站,以便通过意外暴露的凭证入侵网站。

SSH 私钥搜索活动突然“爆发”

Wordfence 发现,攻击者搜索包含“root”、“ssh”、“id_rsa”等词的网页。

Wordfence 首席执行官 Mark Maunder(马克·蒙德)在当地时间10月18日晚发布报告指出,Wordfence 过去 24 小时发现攻击者大规模扫描搜索 SSH 密钥。

Maunder 指出,下图显示扫描活动过去 48 小时达到高峰:

这种现象的一种说法是扫描量猛增说明攻击者成功扫描了私钥,并决定“再接再厉”。这也说明,WordPress 站长可能犯下了常见的纰漏或操作错误,从而导致 SSH 私钥意外公开暴露。

报告:SSH 安全控制普遍缺失

另一种解释则可能是跟身份保护服务提供商 Venafi 本周发布的 SSH 安全报告结果有关。Venafi 对 410 名 IT 安全专家研究后发现 SSH 安全控制普遍缺失,例如:

  • 61%的受访者未限制或监控管理 SSH 的管理人员数量;只有 35% 的受访者通过政策禁止 SSH 用户配置授权的密钥,从而使组织机构对恶意内部人员的滥用行为熟视无睹。

  • 90% 的受访者表示没有完整、准确的 SSH 密钥清单,因此没有办法确定密钥是否被盗、滥用或应当受信任。

  • 只有 23% 的受访者每个季度或更频繁地更换密钥。40% 的受访者表示,根本不会更换密钥或只是偶尔这样做。获取 SSH 密钥的攻击者将持续具有访问特权,直到密钥被更换。

  • 51% 的受访者表示未执行 SSH “无端口转发”。端口转发允许用户绕过系统之间的防火墙,因此具有 SSH 访问权的网络犯罪分子能快速在网段活动。

  • 54% 的受访者未限制使用 SSH 密钥的地方。对于应用程序而言,将 SSH 的用途限定在特定 IP 地址能阻止网络犯罪分子远程使用被黑的 SSH 密钥。

研究人员建议网站所有者检查是否意外将 SSH 私钥上传到了公共服务器,或将 SSH 私钥提交到 Git 或 SVN 库。此外,设置密码访问 SSH 私钥也可阻止攻击者使用该私钥。

转自:E安全

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 开源中国社区 [http://www.oschina.net]
本文标题:攻击者在互联网进行大规模扫描 SSH 私钥活动
分享
评论(5)
精彩评论
4

引用来自“steamer”的评论

这像是GFW干的
无凭无据,这个指责不太好吧。就比如,美国纽约地铁站多名流浪汉被强女干,我能随便说"这像是你家某位女性干的"吗?这是多么无稽啊。
3
这像是GFW干的
最新评论
0
所以长久解决方案?
0

引用来自“steamer”的评论

这像是GFW干的
你是心理扭曲吗?还是没见过世面,不知道外面世界都有些啥?
4

引用来自“steamer”的评论

这像是GFW干的
无凭无据,这个指责不太好吧。就比如,美国纽约地铁站多名流浪汉被强女干,我能随便说"这像是你家某位女性干的"吗?这是多么无稽啊。
0

引用来自“steamer”的评论

这像是GFW干的
知道的有点多.下午来请你喝茶.
3
这像是GFW干的
顶部