Зафиксирован массовый брутфорс SSH

Shell-ботнет (ботнет на основе shell доступов) был зафиксирован при массовом подборе паролей данных авторизации к безопасным оболочкам SSH и сканировании версий phpMyAdmin. Пока было зафиксировано более 17 тыс. «ботов».

Подбираются пароли к тем ресурсам, на которых установлена устаревшая версия phpMyAdmin, с наличием уязвимостей CVE-2008-7251, CVE-2008-7252, CVE-2009-4605. Бот-агент осуществляет брутфорс-атаки на SSH по произвольным IP-адресам из заданного списка. Согласно статистике сервиса DShield от SANS Institute, за период с 24 июля по 10 августа произошел шестикратный рост числа занятых в таком сканировании скомпрометированных источников.

Помимо угрозы непропатченным сайтам и защищенным средствами SSH устройствам, ботнет также сканирует файлы admin.php, setup.php, 1.php, test.php, config.php и ряд других.