FavoriteLoading
0

新扫描SSH私有密钥的攻击者对网站

 

wordfence的显著尖峰SSH私有密钥扫描活动。我们之所以现在发布这个咨询以确保我们的客户和更广泛的WordPress社区的活动和新的私人风险的公共SSH键,并且解释如何避免这个问题。

SSH快速审查

SSH是一种安全的方式来连接到服务器并与它们进行通信。你可以用它来在远程服务器和终端输入命令。更普遍地在世界,SSH,SFTP、FTP或安全。

有两种常用的方式登录到服务器或SFTP利用SSH。您可以使用用户名和密码,或者您可以使用“密钥”的认证。

当使用基于密钥的认证,创建公共密钥和私有密钥。你将公共密钥在服务器上登录。保持你的私钥保存在配置SSH的本地目录。然后,当你启动SFTP客户端,它使用基于密钥的验证。

当SSH私有密钥变成公共

如果SSH私有密钥泄露,任何人都可以用其登录服务器已经建立的基于密钥的验证。它是非常重要的保持你的私有安全密钥。

有多种方式可以一个SSH私有密钥的公共网页目录。网站拥有者上传他们偶尔SSH私有密钥的网站。他们也可能意外地“提交”键进入私人网站源代码版本控制系统(如Git。

当这种情况发生只要确定的攻击者和扫描以定位您SSH私有密钥和下载它。一旦下载,该攻击者可以开始尝试使用该地址登录到控制服务器和其他您可能尝试访问其他网站。

攻击者可以找到属于你的网站,SSH密钥通过各种各样的方法。

他们可以运行命令“ssh-keygen-LF”。

该指纹输出SSH密钥,看起来像这样:

204817:16:40:F9:23:1F:A0:ED:07:B7:D6:51:8F:19:31:27(RSAyourname@example.com)

该指纹唯一地标识您的私钥和包含您的电子邮件地址或一个唯一的标识符,可帮助攻击者确定的密钥属于哪个服务器和目标。例如,如果发现钥匙是属于我的,他们试图在我博客或其他个人目标系统知道他们属于我。

在SSH私有密钥扫描在过去48小时

在过去的24小时中,我们看到了新型攻击机的大规模网站扫描私有SSH密钥。这里是一个样品显示一些扫描产生这些请求:

 

 

正如你所看到的,是攻击者尝试各种路径访问私有SSH密钥,包括根//。

以下图表显示出迅速增长的这种扫描活动:

 

 

该曲线图示出了扫描活动高峰在过去48小时。我们认为这种活性增加可能表示攻击者正在取得一些成功扫描的私有密钥,并决定加强努力。这可能指示错误或操作错误,常见的是由WordPress网站拥有者的私用密钥被意外公布。

如何确保你是安全的SSH密钥相关文章

SSH密钥通常被保持在专用工作站上的目录。苹果的工作站处,将密钥保存在下列目录中:

//用户/.ssh/

对Windows工作站的SSH密钥存储位置取决于您正在使用哪些软件,以便检查供应商文档。

建立SSH认证,您将需要您的副本公众SSH密钥对目录服务器的登录。通常在该键的末端酒吧。扩展。从不将私人密钥发送到远程服务器登录。这种误解导致许多私人密钥可在可公共访问的网络目录。

 

您的私钥文件,通常是没有的。没有私有密钥的扩展。这个文件必须保持隐私。如果超出,则攻击者可以使用它来登录到服务使用。

确保你没有私有SSH密钥复制进您的Web站点或Web应用的源代码。如果你这样做,你可能不小心传到您的网站并使其可公开访问的,允许攻击者窃取它。

 

密码SSH密钥保护

我们还建议你保护你的私人使用ssh密钥的通行短语。这作为一个选项,当你最初产生密钥。SSH密码保护私钥的攻击者不能使用,除非他们能够猜出密码。

很多用户不选择SSH密钥来保护密码,输入密码,因为每次他们想要认证的远程服务器并不方便,这也是为什么经常被盗的SSH密钥可被攻击者利用。

您的网站以检查用于扫描可读SSH私有密钥

在过去的几个小时,我们加入的能力gravityscan扫描可公开访问的网站的SSH密钥相关文章。在这种情况下,www.gravityscan.com运行和扫描的站点以检查是否有任何可公开访问的密钥。如果你这样做,会让你知道gravityscan。我们可以添加类似wordfence插件的能力。

WordPress网站的安全运行要求的分层安全方法。关于这个博客,我们经常讨论各种方法供你使用让您的网站和客户安全。了解如何安全地在标志和如何保护你的重要组件的分层方法来保护您的网站。如果您使用ssh、sftp管理站点的ssh密钥,保护私人密钥以保持安全至关重要。