Sono queste password SSH dei server compromessi?

7

Ho visto tentativi di connessione SSH persistenti sul mio computer da un indirizzo IP familiare. Mi sono incuriosito e ho deciso di fare un po 'di googling sull'indirizzo IP. Risulta che qualcuno dall'Indonesia condivide pubblicamente un intero elenco di indirizzi IP di server, alcuni da Digital Ocean, con le loro password SSH. Non sono sicuro che questi server appartengano a quella persona, che si tratti di password di amministrazione e qual è lo scopo della persona che la condivide pubblicamente. Ma sembra losco visto che sto ottenendo tentativi di login SSH da uno di quegli IP. Sono queste password SSH dei server compromessi? Perché la persona lo condivide? Cosa si può fare al riguardo?

    
posta user67930 08.02.2015 - 12:36
fonte

1 risposta

1

Vedo il link pubblicato e sembra una pagina facebook indonesiana, in cui il gruppo scrive gli IP e le credenziali di diversi server. Penso che questi server non appartengano al gruppo, ma il gruppo stesso li scopre condividendo le loro credenziali. Non so cosa facciano con loro, ma i server probabilmente sono hackerati per qualche scopo. Attacchi simili vengono eseguiti forzando brutalmente una connessione SSH attraverso uno strumento specifico (Hydra, Medusa, ...), come si vede nel tuo computer. Quindi, è molto importante avere una password SSH strong (alphanumerics > = 10), definire un utente specifico per la connessione SSH e disabilitare l'account root / admin per gli accessi SSH. Puoi trovare molti post su come proteggere un server SSH:

link

Sfortunatamente è comune scoprire gruppi simili di cracker (attenzione, non hacker), ma è la prima volta che vedo una chiara pagina fb.

    
risposta data 09.02.2015 - 11:17
fonte

Leggi altre domande sui tag