Bron: http://tweakers.net/nieuws/78542/ond...aanvallen.htmlOnderzoekers van het Internet Storm Center waarschuwen voor een mogelijke toename in het aantal bruteforce-aanvallen op root-accounts via ssh. Sinds medio november zou er een duidelijke toename van het aantal aanvallen op poort 22 zijn."We hebben berichten gekregen over aanhoudende bruteforce-aanvallen op het root-account via ssh", aldus Guy Bruneau van ISC in een blogposting. "Dit is al ongeveer een week aan de gang vanaf verschillende ip-adressen. Ik heb ook soortgelijke activiteiten gezien op een van mijn servers sinds halverwege november."Uit gegevens van Dshield.org blijkt dat er sinds 15 november een forse toename in het aantal aanvalspogingen op poort 22 wordt gerapporteerd. Dshield is een systeem dat wordt gevoed door firewall-logs die door beheerders vrijwillig worden gedeeld. Op basis van de data die wordt ingestuurd kunnen aanvalspatronen worden herkend.De piek lag op 15 november, met bijna 130.000 gerapporteerde aanvalspogingen. Sindsdien is het aantal pogingen iets gedaald en schommelde het in de afgelopen dagen rond de 100.000. Ook bij Tweakers.net is een verhoogde activiteit waar te nemen. Sinds 6 november zijn er op een van de servers al 11.100 pogingen gedaan om als root in te loggen, afkomstig van 141 verschillende ip-adressen. Ook constateren we veel bruteforce-aanvallen met usernames. In de maand november waren dit ruim 57.500 pogingen.Hoewel er in het verleden perioden zijn geweest met aanzienlijk meer aanvalspogingen op poort 22, is de stijging voor het ISC kennelijk opmerkelijk genoeg om er aandacht aan te besteden. De beveiligingsonderzoekers adviseren beheerders om niet via de standaardpoort naar een server te ssh'en en nooit als root in te loggen op een systeem, maar als reguliere gebruiker in te loggen en zonodig te sudo'en.
Nou zal iedereen het hier wel goed geregeld hebben, maar voor diegenen die nog steeds met root en een wachtwoord inloggen: ga nou over op key based login en/of sudo.