美國(guó)WordPress安全公司W(wǎng)ordfence發(fā)現(xiàn)，攻擊者在網(wǎng)上大規(guī)模掃描包含SSH私鑰的網(wǎng)站，以便通過意外暴露的憑證入侵網(wǎng)站。

　　SSH私鑰搜索活動(dòng)突然“爆發(fā)”　　　　

Wordfence發(fā)現(xiàn)，攻擊者搜索包含“root”、“ssh”、“id_rsa”等詞的網(wǎng)頁。

Wordfence首席執(zhí)行官M(fèi)ark Maunder（馬克·蒙德）在當(dāng)?shù)貢r(shí)間10月18日晚發(fā)布報(bào)告指出，Wordfence過去24小時(shí)發(fā)現(xiàn)攻擊者大規(guī)模掃描搜索SSH密鑰。

Maunder指出，下圖顯示掃描活動(dòng)過去48小時(shí)達(dá)到高峰：

這種現(xiàn)象的一種說法是掃描量猛增說明攻擊者成功掃描了私鑰，并決定“再接再厲”。這也說明，WordPress站長(zhǎng)可能犯下了常見的紕漏或操作錯(cuò)誤，從而導(dǎo)致SSH私鑰意外公開暴露。

報(bào)告：SSH安全控制普遍缺失　　　　

另一種解釋則可能是跟身份保護(hù)服務(wù)提供商Venafi本周發(fā)布的SSH安全報(bào)告結(jié)果有關(guān)。Venafi對(duì)410名IT安全專家研究后發(fā)現(xiàn)SSH安全控制普遍缺失，例如：

61%的受訪者未限制或監(jiān)控管理SSH的管理人員數(shù)量；只有35%的受訪者通過政策禁止SSH用戶配置授權(quán)的密鑰，從而使組織機(jī)構(gòu)對(duì)惡意內(nèi)部人員的濫用行為熟視無睹。

90%的受訪者表示沒有完整、準(zhǔn)確的SSH密鑰清單，因此沒有辦法確定密鑰是否被盜、濫用或應(yīng)當(dāng)受信任。

只有23%的受訪者每個(gè)季度或更頻繁地更換密鑰。40%的受訪者表示，根本不會(huì)更換密鑰或只是偶爾這樣做。獲取SSH密鑰的攻擊者將持續(xù)具有訪問特權(quán)，直到密鑰被更換。

51%的受訪者表示未執(zhí)行SSH“無端口轉(zhuǎn)發(fā)”。端口轉(zhuǎn)發(fā)允許用戶繞過系統(tǒng)之間的防火墻，因此具有SSH訪問權(quán)的網(wǎng)絡(luò)犯罪分子能快速在網(wǎng)段活動(dòng)。

54%的受訪者未限制使用SSH密鑰的地方。對(duì)于應(yīng)用程序而言，將SSH的用途限定在特定IP地址能阻止網(wǎng)絡(luò)犯罪分子遠(yuǎn)程使用被黑的SSH密鑰。

研究人員建議網(wǎng)站所有者檢查是否意外將SSH私鑰上傳到了公共服務(wù)器，或?qū)SH私鑰提交到Git或SVN庫(kù)。

此外，設(shè)置密碼訪問SSH私鑰也可阻止攻擊者使用該私鑰。