Hacker-ek egy csoportja egy hamis Apache modullal fertőzik meg a webszervereket, valamint lecserélik a Secure Shell-t (SSH) egy olyan hátsó kaput (backdoor) tartalmazóra, amely segítségével el tudják lopni az adminisztrátorok és felhasználók belépési adatait. A hacker a feltört szerveren kicserélik az SSH összes bináris állományát egy backdoor-t tartalmazóra, amely elküldi az összes kimenő és bejövő SSH kapcsolathoz tartozó hostnevet, felhasználónevet és jelszót egy a támadók által irányított szervernek. "Korábban már láttunk néhány SSH daemon backdoor-t, viszont azok nem terjedtek el, vagy pedig ismert rootkit-ek részei voltak. Olyat azonban korábban még nem láttunk, mint ez. Nem csak az daemon-t módosítják, hanem az összes SSH-hoz kapcsolódó programot (ssh, ssh-agent, sshd), és az egész célja, hogy ellopják a jelszavakat", írta a Sucuri biztonsági cég vezető szakártője egy blog posztban.

A hétvégén több internetes oldalon is felröppent a hír, hogy állítólag az iráni kormány blokkolja a HTTPS biztonsági protokollt használó oldalakhoz történő hozzáférés és megakadályozzák azon szoftverek használatát, amelyekkel megkerülhető az Iránban működő országos tűzfal. A hírt a Hacker News számos Iránban élő felhasználója megerősítette, hozzászólásaikban jelezték, a HTTPS mellett az IMAP-tól a TLS-en át az SSH-ig minden titkosított csatorna tiltásra került.

Rendkívül nagy kockázatot vállalnak azok akik titkosítás nélkül és rendszeresen használnak nyílt Wi-fi hálózatokat kávézókban, parkokban. Az ilyen internetkapcsolaton történő böngészés a legkönnyebben megfigyelhető és az adatok így szerezhetőek meg a legegyszerűbben, ezért szükséges megtanulni, hogy tudunk biztonságosan böngészni.

Nem csak az átlag felhasználók választanak triviális, könnyen kitalálható jelszavakat, hanem rendszergazdák, adminisztrátorok is. A Dragon Research Group (DRG) elkészítette és kiadta a listát.
http://mybroadband.co.za/news/general/15215-Most-common-SSH-passwords-re...

Több megbízható forrás szerint a dd_ssh bot felelős az utóbbi időben megszaporodott SSH brute force támadásokért. A botnet egy több mint egy éves PHPMyAdmin befecskendezéses sérülékenységet használ ki a támadáshoz. Az IP címenkénti néhány probálkozás miatt a támadás gyakorlatilag észrevétlen marad az olyan védelmi programok előtt mint a DenyHost.
http://www.h-online.com/security/news/item/Botnet-attacks-SSH-servers-10...

Az alábbi elérhetőségen SSH áttekintést és analízist találhatunk nyilvános adatokkal.

http://www.dragonresearchgroup.org/insight/
http://twitter.com/DragonResearch/statuses/20313810220