Geralmente os atacantes tentam diversas combinações de usuários e senhas comuns (www, apache, nobody, operator, root, etc). Devido ao aumento de incidencias desse tipo de ataque, é notável que os invasores possuem taxas de sucesso relativamente elevadas.
Um sintoma de um ataque desse tipo em seu servidor, é a presença de muitos erros de autenticação nos seus arquivos de log, tal como o exemplo abaixo:
Sep 30 07:01:19 teste sshd[27500]: Failed password for illegal user elga from xxx.xxx.xxx.xxx port 34708 ssh2
Sep 30 07:01:20 teste sshd[27502]: Illegal user eli from xxx.xxx.xxx.xxx
Sep 30 07:01:20 teste sshd[27502]: Failed password for illegal user eli from xxx.xxx.xxx.xxx port 34731 ssh2
Sep 30 07:01:20 teste sshd[27504]: Illegal user eli from xxx.xxx.xxx.xxx
Sep 30 07:01:20 teste sshd[27504]: Failed password for illegal user eli from xxx.xxx.xxx.xxx port 34746 ssh2
Sep 30 07:01:20 teste sshd[27506]: Illegal user elia from xxx.xxx.xxx.xxx
Sep 30 07:01:20 teste sshd[27506]: Failed password for illegal user elia from xxx.xxx.xxx.xxx port 34765 ssh2
Sep 30 07:01:21 teste sshd[27508]: Illegal user elia from xxx.xxx.xxx.xxx
Sep 30 07:01:21 teste sshd[27508]: Failed password for illegal user elia from xxx.xxx.xxx.xxx port 34784 ssh2
Sep 30 07:01:21 teste sshd[27510]: Illegal user eliabe from xxx.xxx.xxx.xxx
Sep 30 07:01:21 teste sshd[27510]: Failed password for illegal user eliabe from xxx.xxx.xxx.xxx port 34803 ssh2
Sep 30 07:01:21 teste sshd[27512]: Illegal user eliabe from xxx.xxx.xxx.xxx
Sep 30 07:01:21 teste sshd[27512]: Failed password for illegal user eliabe from xxx.xxx.xxx.xxx port 34816 ssh2
Sep 30 07:01:21 teste sshd[27514]: Illegal user eliade from xxx.xxx.xxx.xxx
Sep 30 07:01:21 teste sshd[27514]: Failed password for illegal user eliade from xxx.xxx.xxx.xxx port 34837 ssh2
Sep 30 07:01:22 teste sshd[27518]: Illegal user eliade from xxx.xxx.xxx.xxx
Sep 30 07:01:22 teste sshd[27518]: Failed password for illegal user eliade from xxx.xxx.xxx.xxx port 34855 ssh2
Sep 30 07:01:22 teste sshd[27520]: Illegal user eliana from xxx.xxx.xxx.xxx
Sep 30 07:01:22 teste sshd[27520]: Failed password for illegal user eliana from xxx.xxx.xxx.xxx port 34871 ssh2
Sep 30 07:01:22 teste sshd[27522]: Illegal user eliana from xxx.xxx.xxx.xxx
Sep 30 07:01:22 teste sshd[27522]: Failed password for illegal user eliana from xxx.xxx.xxx.xxx port 34886 ssh2
Sep 30 07:01:23 teste sshd[27524]: Illegal user eliane from xxx.xxx.xxx.xxx
Sep 30 07:01:23 teste sshd[27524]: Failed password for illegal user eliane from xxx.xxx.xxx.xxx port 34902 ssh2
Sep 30 07:01:23 teste sshd[27526]: Illegal user eliane from xxx.xxx.xxx.xxx
Sep 30 07:01:23 teste sshd[27526]: Failed password for illegal user eliane from xxx.xxx.xxx.xxx port 34916 ssh2
Perceba no trecho de log acima, que o atacante se utiliza do metodo mais arcaico, que é o uso de dicionário de palavras para tentar descobrir uma senha fraca em seu sistema.Uma vez descoberto um usuário qualquer, o atacante pode se utilizar do acesso para tentar obter poderes de root utilizando ferramentas de rootkit, ou mesmo tentar rodar serviços na máquina como usuário não privilegiado, transformando a máquina em um servidor de jogos, spam ou outras coisas piores, tal como comprometer e expor os dados de seu servidor.
Como evitar:
- Siga as dicas do CERT.br: http://www.cert.br/docs/whitepapers/defesa-forca-bruta-ssh/
Repare que as recomendações são as básicas (e que muitos esquecem): configure o seu sshd.conf de modo a não aceitar conexões de hosts não necessários, limite os usuários autorizados a se autenticarem via ssh, altere as portas padrão (22) para outra qualquer, limite a quantidade de conexões no firewall, uso de senhas fortes, etc. Só relembrando, uma senha forte deve ser uma combinação aleatória de números, letras e simbolos. NUNCA use sequencias de teclado, tal como t5y6u7 ou asdfg123 como senhas, pois isso também são usados em ataques via dicionário.
- Instale um serviço que monitore seus logs e bloqueie o ataque:
https://www.hardware.com.br/dicas/bloqueando-ataques-ssh.html
http://denyhosts.sourceforge.net/
Seguindo essas recomendações básicas de segurança, as chances de sucesso de um ataque desse tipo em seu servidor são drasticamente reduzidas.