Diversos hackers no identificados están construyendo actualmente una red de botnets, y hay suficientes indicios de que posiblemente estos ataques se produzcan mediante el uso de un exploit (una vulnerabilidad) en phpMyAdmin aunque solo en instalaciones obsoletas, y están utilizando esta brecha de seguridad para lanzar ataques de fuerza bruta contra el protocolo SSH. Para lograr derrumbar los servidores Web los agresores utilizan redes Botnet lanzando ataques de fuerza bruta contra el SSH. Los administradores de paginas Web estan en estado de alerta ante los repetidos ataques contra sus servidores al parecer, a traves de una solicitud no autorizada dd_ssh que es posible ejecutar en sus sistemas. La bulnerabilidad es un script que se encuentra en el directorio / tmp /, se ejecuta con la misma cuenta que Apache y es al parecer se utilizan para conexiones SSH de fuerza bruta.
El SANS Internet Storm Center (ISC) confirma la detección de un reciente repunte en el número de direcciones IP únicas que participan en exploraciónes de SSH. Los datos recogidos por su sistema de seguimiento DShield muestra que el número de fuentes de exploración SSH aumentó alrededor de 1.300 por día a principios de agosto y a más de 5.000 en este momento. Según algunos informes los atacantes podrían estar explotando una vulnerabilidad en versiones antiguas de phpMyAdmin con lanzamiento de dd_ssh y otro archivo llamado vm.c en el directorio tmp. La vulnerabilidad, que permite la ejecución remota de código, afecta a las versiones 3.2.4 a continuación (Debian) y al parecer ha sido parcheado en abril de este año.
"He encontrado que muchas personas han sido atacadas tienen registros que muestran una avalancha de peticiones http del IPS en Asia y Europa del Este, especialmente haciendo consultas sobre la versión de phpMyAdmin," escribe un entusiasta de la seguridad y creación de redes, que observo los ataques. Estos ataques pueden parecerse a un ataque DDoS desde el lado del servidor, pero tienen un motivo ulterior. Una vez descubierta si la versión es vulnerables, inmediatamente inyectan el código", añade.
A pesar de que los ataques de fuerza bruta de SSH han alcando su maximo este mes, el problema con el dd_ssh ha sido mencionado desde junio en varios informes.