SSH 蛮力攻击遍布全球。你被打了吗？

你能想象有一天你家的门可以随时轻松打开，然后被盗、被炸、被窃听等等吗？如果你的服务器的SSH服务被破解了，服务器会遇到以上的安全问题，但是从服务器上窃取的东西是比金钱更有价值的东西——数据，炸弹的破坏力是木马病毒，被入侵后，它会像在你的家里安装窃听器和摄像头，监控你的一举一动，甚至操纵它，比如删除你所有的数据。物联网设备也未能幸免。

SSH 暴力攻击是对远程登录设备（如云服务器）的暴力攻击。这种攻击将使用各种用户名和密码来尝试登录设备。登录成功后，即可获取设备权限。目前，SSH暴力攻击已经蔓延到全球160多个国家，攻击主要针对使用默认账号密码的用户。由于虚拟货币的兴起，攻击者不再只是利用受SSH暴力控制的设备进行ddos攻击，还可以挖矿牟利。

那么，接下来，我们将重点关注本期内容，提醒用户如何更有效地防止SSH暴力破解：

SSH暴力攻击针对这类用户，看看你被骗了吗？

SSH暴力攻击目标主要分为Linux服务器（包括传统服务器、云服务器等）和物联网设备。最近发现的SSH暴力登录数据统计分析：

1、近99%的SSH暴力攻击都是针对系统默认用户名，admin、root、test占据榜单前三名；

2、攻击中最常用的前三个弱密码是admin、password、root，占攻击次数的98.70%；

3、大约 85% 的 SSH 暴力攻击使用 admin/admin 和 admin/password 组合。

△ 攻击者使用的 SSH 暴力攻击字典 Top 20

根据上图，大量的SSH暴力攻击使用了两组用户名和密码组合，admin/admin和admin/password，而这两组用户名和密码组合是最常用的默认用户名和路由器组合密码。可以看出，使用上述默认配置的路由器设备已成为攻击的主要目标。

DDoS类型恶意文件占比近70%，攻击者利用恶意样本“赚钱”挖矿

在SSH暴力攻击后，攻击者在服务器上植入恶意文件。分析发现，大部分成功的攻击都植入了ELF可执行文件。在植入的恶意文件中，反病毒引擎检测到的病毒占43.05%，病毒文件中DDoS类型的恶意文件最多接近70%，包括Ganiw、Dofloo、Mirai、Xarcen 、PNScan、LuaBot、Ddostf 等家族。另外，仅从这批恶意文件中发现，比特币等挖矿程序占比5.21%。

2018年6月10日7点12分发现的一次SSH暴力攻击的溯源分析发现，暴力攻击后，攻击者在设备中植入了DDoS家族Ddostf bot和“一路赚钱”。 "恶意挖矿程序的两个恶意样本。

植入的“一路赚钱”64位Linux客户端压缩包自动运行客户端主程序mservice，解压后注册为Linux系统服务。客户端文件夹下有mservice/xige/xig三个可执行文件，其中mservice负责账号登录/设备注册/上报实时信息，而xige和xig负责挖矿，xige负责挖矿ETH，xig负责挖矿门罗币 XMR。

在这次SSH暴力攻击中，攻击者不仅利用bot发动DDoS牟利，而且在设备空闲时进行挖矿，最大限度地利用设备资源。另外，随着“钱一路”挖矿计划的兴起，降低了挖矿的技术难度暴力破解软件的难度，未来可能还会有更多类似的事件发生。

主要攻击目标是从云平台迁移到物联网设备，用户需要检查设备清理可疑程序

在对SSH暴力攻击进行综合分析后，研究还指出，物联网的发展导致设备数量呈指数级增长，物联网设备逐渐成为攻击的主要目标。未来，攻击者将继续租用国外服务器进行大规模攻击。

攻击源区域：全球160多个国家

最近统计的 SSH 暴力攻击来自 160 多个国家/地区。从攻击源IP来看，来自中国的攻击源IP最多，占比26.7%，与巴西、越南、美国不相上下。在中国，攻击源IP分布广泛且分布均匀，没有一个省市是攻击源IP特别集中的。这是因为攻击者使用不同区域的 IP 进行攻击，以隐藏其真实位置并避免跟踪。

在这种情况下，我们针对技术用户和普通用户提出了几种不同的安全建议：

对于技术用户，用户可以定期对自己的设备进行自检，检查是否有可疑程序在运行并及时清理；设备的SSH服务只开启密钥认证方式，禁止root用户登录暴力破解软件的难度，修改默认端口；修改默认密码。新密码必须至少有 8 个字符，并且包含大小写字母、数字和特殊字符。并检查是否使用了文章中提到的弱密码。如果使用弱密码，您还需要更改密码以增强安全性。普通用户需要选择可靠的安全防护产品来保障数据安全。