Спеціалісти компанії Wordfence попередили, що зловмисники почали масово сканувати сайти в пошуках директорій, де можуть зберігатися приватні ключі SSH. Нагадаємо, що аутентифікація засобом SSH може здійснюватись як з допомогою юзернейма та пароля, так і з допомогою RSA-ключів, публічного та приватного. Публічний ключ розташовується на сервері, а приватний зберігається на стороні користувача, в локальному файлі.
В середині минулого тижня аналітики Wordfence зафіксували несподівану та масову хвилю сканування сайтів. Судячи з імен директорій, котрі цікавлять зловмисників, то вони полюють за приватними ключами SSH. Так, зловмисників цікавлять директорії, в назвах яких згадується root, ssh, а також id_rsa.
«Ми припускаємо, що різке зростання активності сканерів може бути пов’язаний з тим, що зловмисники вже досягли деякого успіху в пошуках приватних ключів і вирішили докласти більше зусиль. Це може вказувати на існування якогось поширеного бага або на те, що власники сайтів на WordPress здійснюють якусь експлуатаційну помилку, через що приватні ключі стають доступними публічно», – пише голова Wordfence Марк Маундер (Mark Maunder).
В блозі аналітики Wordfence радять адміністраторам сайтів проявляти пильність і розповідають, як убезпечити свої SSH ключі та в цілому правильно налаштувати SSH.
Автор публікації
