1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › SSH-Zugänge gehackt: Umfangreicher…

Spunghafter anstieg seit Corona

  1. Thema

Neues Thema Ansicht wechseln


  1. Spunghafter anstieg seit Corona

    Autor: REAL*16 15.05.20 - 01:20

    Wir betreiben Knoten mit fail2ban und bei 14Tagen Sperrzeit. Da sind normal immer so um die 200 IPs auf der Sperrliste. Nach dem Ausbruch von Corona in Europa schnellte diese Zahl innerhalb von wenigen Tagen auf 4-5 Tausend hoch. Das sind ganz einfache brute force-Atacken. Bei dem Sicherheitsbewusstsein vieler Wissenschaftler (Passwort: "NCC-1701" kommt nieeee einer drauf) braucht es dafür keine großartigen Angriffsvektoren. Und weil Updates allzu gerne die mit viel Mühe von guten Wissenschaftlern (aber Laien in der Informatik) compilierten binaries zerschießen, werden die gerne mal nur halbjährig am "Wartungstag" eingespielt. Das lässt gute Chancen auf eine vorhandene eine privilege escalation-Lücke, wenn man einmal als user eingeloggt ist. Ohne 2 Faktor-Authentifizierung wäre mir das zu heiß, aber die Mehrzahl der HPC Syteme, wo ich Zugang habe/hatte wird ohne betrieben.

  2. Re: Spunghafter anstieg seit Corona

    Autor: Atrocity 15.05.20 - 07:20

    Im Text steht dass ein User-Account komprimiert wurde. Ich gehe mal davon aus dass dabei ein SSH-Key kopiert wurde.
    Aber dann liefen mehrere Dinge falsch. Erstens war der Key nicht mit Passwort geschützt. Zweitens hatte der User mit dem key dann wohl direkte root-Rechte. Normal erwarte ich dass erst ein sudo nötig ist. Und das verlangt ja, dritter möglicher Fehler, normal ein Passwort.

    Wie dann von einem Useraccount aus so viele Supercomputer gehackt werden konnten ist mir auch nicht ganz klar. Entweder hatte der eine User root-Zugang auf so vielen Kisten. Das halte ich aber für extrem unwahrscheinlich. Oder die Kisten waren irgendwie vernetzt. Aber wenn ich in einem Supercomputer einen root-ssh-key für einen anderen finden kann dann sollte man generell mal einen Audit der Sicherheitsmaßnahmen durchführen.

  3. Re: Spunghafter anstieg seit Corona

    Autor: cry88 15.05.20 - 08:07

    Wahrscheinlicher ist doch eher die Variante vom TE: SSH mit Passwörtern und die Angreifer haben User in der Admin group erwischt.

    Ist ja nicht so, als wären die meisten Forscher sonderlich Security affin. Ein Passwort für alles und dann möglichst einfach zu merken. SSH Key wiederum ist zu aufwendig, da man ja gerne wechselnde clients hat oder die Security Leute einen mit Copy/Paste Verboten ärgern.

  4. Re: Spunghafter anstieg seit Corona

    Autor: Theoretiker 15.05.20 - 14:05

    Atrocity schrieb:
    --------------------------------------------------------------------------------
    > Im Text steht dass ein User-Account komprimiert wurde. Ich gehe mal davon
    > aus dass dabei ein SSH-Key kopiert wurde.
    > Aber dann liefen mehrere Dinge falsch. Erstens war der Key nicht mit
    > Passwort geschützt. Zweitens hatte der User mit dem key dann wohl direkte
    > root-Rechte. Normal erwarte ich dass erst ein sudo nötig ist. Und das
    > verlangt ja, dritter möglicher Fehler, normal ein Passwort.

    Aktuell sieht es aus, als seien Schlüssel abhanden gekommen. Das passiert. Und auch ohne Passphrase, das passiert auch.

    Das brisante ist allerdings die root-Shell, die auf den Systemen angelegt worden ist. Das können normale Nutzer nicht. Also gab es hier noch irgendwas, ein Zero-Day vielleicht. Es bleibt spannend.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Stadt Frankfurt am Main, Frankfurt am Main
  2. NetCologne IT Services GmbH, Köln
  3. Delta Energy Systems (Germany) GmbH, Soest
  4. BNP Paribas Real Estate Investment Management Germany GmbH, München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. (reduzierte Überstände, Restposten & Co.)


Haben wir etwas übersehen?

E-Mail an news@golem.de