Kispad

Kispad: közös blog
4230 cikk, 53959 hozzászólás
Szerzők | Tudnivalók | Feedek


Hatalmas piros pont a CERT-Hungarynak

eszpee cikke a Torokgeek rovatból, 2008. október 26. vasárnap, 15:33 | 13 hozzászólás

A vasárnapi ebédről arra jövök haza, hogy ez vár az inboxomban:

[cert-hungary.hu #3896] CERT-Hungary - Compromised FTP account credentials -underground.hu

A CERT-Hungaryról még megmondom őszintén életemben soha nem hallottam, de még a központi CERT/CC-ről sem, úgyhogy első ránézésre ez valami egyszerűbb phishing akciónak tűnt, amíg meg nem nyitottam a levelet.

Ott ugyanis ez fogadott:

A CERT-Hungary Központ (CHK) a magyar kormány informatikai biztonsági incidenskezelő központja.

Központunk az alábbi feltört FTP felhasználókról kapott értesítést:

EGÉSZ /DOMAIN /USER /PASSWORD
ftp://user:pass@ftp.prohost.hu:21/#######NoIndexFound# ftp.prohost.hu user pass
ftp://user:pass@ftp.prohost.hu:21/######## ftp.prohost.hu user pass

Kérjük figyelmeztesse az érintetteket és tegye meg a szükséges biztonsági intézkedéseket.

Az user és pass természetesen egy élő, érvényes FTP fiók volt.

Első megdöbbenésem után persze rögtön átírtam a jelszót, töröltem a könyvtár tartalmát (szerencsére csak egy ritkán használt ideiglenes tárhely volt, se shell, se web, se semmi nem járt hozzá), aztán visszaírtam a szerzőnek, hogy egyrészt nagyon köszönöm, másrészt mégis, ezt hogyan, honnan?

A válasz (vasárnap délután vagyunk még mindig) azonnal megjött, egy külföldi CERT szervezettől kaptak értesítést, több tízezer(!) magyar FTP accounttal. Most (vasárnap délután ugye, még mindig!) ezeket válogatják, keresgélik a domaintulajdonosokat, és értesítgetik őket. (Remélem azért scriptes segédlettel.) Valószínűleg egy vírus, vagy hasonló károkozó lehett valakinél, aki használta az én FTP fiókomat is, és a program rögtön hazaszólhatott, hogy nini, itt egy újabb account. Ezt a gyűjteményt kaphatták el valahol - mindenesetre érdekes lenne megtudni részleteket.

Addig is viszont lásd a címet, nem gondoltam volna, hogy egy kormányzati szervről egyszer ilyen pozitív hangnemben fogok írni. Egész jó kedvem lett, köszönöm!

Update: a logok áttúrása után egy belépést találtam, amit nem bírtam senkihez se kötni, egy externetes adsl-ről feltöltött valaki egy darab "AiRoboForm Ver.6.9.90.exe"-t még szeptemberben. Emlékszem, ezt anno láttam, és csodálkoztam is, mert senkitől semmi ilyet nem kértem, le is töröltem rögtön - most utólag gondolom, hogy ez már a vírus lehetett terjedés közben, szép.

» Ugorj a hozzászóló ablakhoz

Megosztások Facebookon

Eddigi hozzászólások (13)

1

agatity, 2008. október 27. hétfő, 10:49 (#)

Igen, én is kaptam ilyet, pénteken, szintén vírus, az ellopotott FTP passok 80%-a már azóta megváltozott, mert mi már korábban észrevettük, hogy gázok vannak nálunk...

2

Author Profile Page eszpee, 2008. október 27. hétfő, 10:56 (#)

agatity, ha lehet tudni, mit takar a "gázok vannak nálunk"? én úgy láttam, hozzám csak ezt a file-t rakták fel, semmi más. nálatok csináltak még valamit?

3

VistaMan, 2008. október 27. hétfő, 11:02 (#)

Az index.php és/vagy index.html fileokat szokták még teleszemetelni. Azokat érdemes ellenőrízni. Meg minden filet, aminek a dátuma friss.

4

Author Profile Page eszpee, 2008. október 27. hétfő, 11:14 (#)

Ja OK, itt nem volt web szerencsére. Köszi!

5

b., 2008. október 27. hétfő, 15:03 (#)

miért használtok a XXI. században FTP-t? Sftp, scp, ssh...

6

Author Profile Page eszpee, 2008. október 27. hétfő, 15:09 (#)

Hát mert leginkább ha valakitől kérek valamilyen munkaanyagot, akkor seggemet verem a földhöz, ha legalább az FTP-t ismeri, és nem kell lebeszélnem a "már kiírtam, jöjjön be a CD-ért" megoldásról. De legközelebb mindenképpen bevetem ezt a XXI. százados fordulatot!

7

gna, 2008. október 27. hétfő, 16:03 (#)

sftp scp ssh nem igazán könnyen adható egy virtuális szolgáltatói környezetbe. Buta ügyfelek felé a belépés módját kell megfelelően védeni, így a jelszógyűjtő fertőzéseknek sok idő kell az alkalmazkodáshoz. Pl egy capcha-val kiegészített webFTP SSL-en már meggátolhatja az automtizált feltöltők munkáját, így értelmetlenítve a jelszógyűjtést. Esetleg egy token alkalmazás adható az ügyfélnek, amivel a FTP jelszót random módosítva nincs permanens jelszó amit érdemes ellopni. Harmadik lehetőség bizonyos FTP szerverek adatbázis alapon tudnak IP-re korlátozni, így egy out-of-band IP autentikáció is megoldható.

Más ötletek?

8

b., 2008. október 27. hétfő, 19:30 (#)

gna, valóban nem, 5 éve használjuk igy.

9

Author Profile Page eszpee, 2008. október 27. hétfő, 19:52 (#)

Maradjunk annyiban szerintem, hogy eléggé feladatfüggő a dolog.

10

tallian.miklos, 2008. október 27. hétfő, 20:54 (#)

http://konzervatorium.blog.hu/2008/10/26/szolgalati_kozlemeny_461

Ez egy ilyen hétvége, úgy látszik. Mi meg az iszlám belháborúnak estünk áldozatul. :)

11

Author Profile Page eszpee, 2008. október 27. hétfő, 21:14 (#)

Részvétem. Egyébként az ilyen támadások mindig ünnepek alatt vagy hétvégén esnek be, emiatt még külön három kör vascsöves abúzálást osztanék ki az elkövetőknek.

12

gna, 2008. október 28. kedd, 15:15 (#)

b -> 5 éve scp/sftp hosztingos ügyfeleknek? Tehát kb olyannak mint a freeweb.hu, swi.hu atw.hu is lehetséges áttérnie? Van valami jó leírás a hogyanról? nyitott vagyok minden megoldásra.

13

ze11er, 2008. november 5. szerda, 23:56 (#)

Jelszólopás ellen hasznos lehet a token, valóban, csak anank van "némi" költségvonzata, az opie (PAM-ba szépen begyógyítható) szintén egyszerhasználatos jelszavakkal operál, van hozzá *NIX, Windows*, illetve mobiltelóra írt (Java-s) jelszógeneráló alkalmazás.


Hozzászólsz?

Igen

Hozzászólást csak névvel együtt fogadunk el. Ha linket írsz be, akkor előtte és utána hagyj egy szóközt, főleg akkor, ha zárójelbe teszed.


Az oldal tetejére | Szerzők, tudnivalók, feedek | sesblog és Kispad © 2003-2010 ervin, eszpee, stsmork