Hozzászólások | Szólj hozzá! | Rovatok és keresés
eszpee cikke a Torokgeek rovatból, 2008. október 26. vasárnap, 15:33 | 13 hozzászólás
A vasárnapi ebédről arra jövök haza, hogy ez vár az inboxomban:
[cert-hungary.hu #3896] CERT-Hungary - Compromised FTP account credentials -underground.hu
A CERT-Hungaryról még megmondom őszintén életemben soha nem hallottam, de még a központi CERT/CC-ről sem, úgyhogy első ránézésre ez valami egyszerűbb phishing akciónak tűnt, amíg meg nem nyitottam a levelet.
Ott ugyanis ez fogadott:
A CERT-Hungary Központ (CHK) a magyar kormány informatikai biztonsági incidenskezelő központja.
Központunk az alábbi feltört FTP felhasználókról kapott értesítést:
EGÉSZ /DOMAIN /USER /PASSWORD
ftp://user:pass@ftp.prohost.hu:21/#######NoIndexFound# ftp.prohost.hu user pass
ftp://user:pass@ftp.prohost.hu:21/######## ftp.prohost.hu user pass
Kérjük figyelmeztesse az érintetteket és tegye meg a szükséges biztonsági intézkedéseket.
Az user és pass természetesen egy élő, érvényes FTP fiók volt.
Első megdöbbenésem után persze rögtön átírtam a jelszót, töröltem a könyvtár tartalmát (szerencsére csak egy ritkán használt ideiglenes tárhely volt, se shell, se web, se semmi nem járt hozzá), aztán visszaírtam a szerzőnek, hogy egyrészt nagyon köszönöm, másrészt mégis, ezt hogyan, honnan?
A válasz (vasárnap délután vagyunk még mindig) azonnal megjött, egy külföldi CERT szervezettől kaptak értesítést, több tízezer(!) magyar FTP accounttal. Most (vasárnap délután ugye, még mindig!) ezeket válogatják, keresgélik a domaintulajdonosokat, és értesítgetik őket. (Remélem azért scriptes segédlettel.) Valószínűleg egy vírus, vagy hasonló károkozó lehett valakinél, aki használta az én FTP fiókomat is, és a program rögtön hazaszólhatott, hogy nini, itt egy újabb account. Ezt a gyűjteményt kaphatták el valahol - mindenesetre érdekes lenne megtudni részleteket.
Addig is viszont lásd a címet, nem gondoltam volna, hogy egy kormányzati szervről egyszer ilyen pozitív hangnemben fogok írni. Egész jó kedvem lett, köszönöm!
Update: a logok áttúrása után egy belépést találtam, amit nem bírtam senkihez se kötni, egy externetes adsl-ről feltöltött valaki egy darab "AiRoboForm Ver.6.9.90.exe"-t még szeptemberben. Emlékszem, ezt anno láttam, és csodálkoztam is, mert senkitől semmi ilyet nem kértem, le is töröltem rögtön - most utólag gondolom, hogy ez már a vírus lehetett terjedés közben, szép.
(#)
, 2008. október 27. hétfő, 10:49Igen, én is kaptam ilyet, pénteken, szintén vírus, az ellopotott FTP passok 80%-a már azóta megváltozott, mert mi már korábban észrevettük, hogy gázok vannak nálunk...
, 2008. október 27. hétfő, 10:56 (#)
agatity, ha lehet tudni, mit takar a "gázok vannak nálunk"? én úgy láttam, hozzám csak ezt a file-t rakták fel, semmi más. nálatok csináltak még valamit?
(#)
, 2008. október 27. hétfő, 11:02Az index.php és/vagy index.html fileokat szokták még teleszemetelni. Azokat érdemes ellenőrízni. Meg minden filet, aminek a dátuma friss.
, 2008. október 27. hétfő, 11:14 (#)
Ja OK, itt nem volt web szerencsére. Köszi!
(#)
, 2008. október 27. hétfő, 15:03miért használtok a XXI. században FTP-t? Sftp, scp, ssh...
, 2008. október 27. hétfő, 15:09 (#)
Hát mert leginkább ha valakitől kérek valamilyen munkaanyagot, akkor seggemet verem a földhöz, ha legalább az FTP-t ismeri, és nem kell lebeszélnem a "már kiírtam, jöjjön be a CD-ért" megoldásról. De legközelebb mindenképpen bevetem ezt a XXI. százados fordulatot!
(#)
, 2008. október 27. hétfő, 16:03sftp scp ssh nem igazán könnyen adható egy virtuális szolgáltatói környezetbe. Buta ügyfelek felé a belépés módját kell megfelelően védeni, így a jelszógyűjtő fertőzéseknek sok idő kell az alkalmazkodáshoz. Pl egy capcha-val kiegészített webFTP SSL-en már meggátolhatja az automtizált feltöltők munkáját, így értelmetlenítve a jelszógyűjtést. Esetleg egy token alkalmazás adható az ügyfélnek, amivel a FTP jelszót random módosítva nincs permanens jelszó amit érdemes ellopni. Harmadik lehetőség bizonyos FTP szerverek adatbázis alapon tudnak IP-re korlátozni, így egy out-of-band IP autentikáció is megoldható.
Más ötletek?
(#)
, 2008. október 27. hétfő, 19:30gna, valóban nem, 5 éve használjuk igy.
, 2008. október 27. hétfő, 19:52 (#)
Maradjunk annyiban szerintem, hogy eléggé feladatfüggő a dolog.
(#)
, 2008. október 27. hétfő, 20:54http://konzervatorium.blog.hu/2008/10/26/szolgalati_kozlemeny_461
Ez egy ilyen hétvége, úgy látszik. Mi meg az iszlám belháborúnak estünk áldozatul. :)
, 2008. október 27. hétfő, 21:14 (#)
Részvétem. Egyébként az ilyen támadások mindig ünnepek alatt vagy hétvégén esnek be, emiatt még külön három kör vascsöves abúzálást osztanék ki az elkövetőknek.
(#)
, 2008. október 28. kedd, 15:15b -> 5 éve scp/sftp hosztingos ügyfeleknek? Tehát kb olyannak mint a freeweb.hu, swi.hu atw.hu is lehetséges áttérnie? Van valami jó leírás a hogyanról? nyitott vagyok minden megoldásra.
(#)
, 2008. november 5. szerda, 23:56Jelszólopás ellen hasznos lehet a token, valóban, csak anank van "némi" költségvonzata, az opie (PAM-ba szépen begyógyítható) szintén egyszerhasználatos jelszavakkal operál, van hozzá *NIX, Windows*, illetve mobiltelóra írt (Java-s) jelszógeneráló alkalmazás.
» Filmek
» Könyvek
» Éttermek - térképpel!
» Receptek
» Mobil videók
A Kispad-feednek most
olvasója van. Szeretnél közéjük tartozni? Ezen az oldalon mindent elmagyarázunk.
Az oldal tetejére | Szerzők, tudnivalók, feedek | sesblog és Kispad © 2003-2010 ervin, eszpee, stsmork