Autor Subiect: Atac live pe ftp (Citit de 8263 ori)

Tomoiaga · « **Răspuns #45 :** August 19, 2009, 04:00:38 am »

"Solutia cea mai buna ar fi un antivirus performant pe server (clamav e slabut, la fel si Kaspersky pentru file server, nu detecteaza mare lucru)"

Eu am fost tot timpul curios de ce antivirus pe server ? In cazul de mai sus, intr-un fisier se adauga un text, antivirusul nu ajuta oricum, dar in general, de ce antivirus pe server ?

Gupi · « **Răspuns #46 :** August 19, 2009, 06:25:59 am »

@Tomoioaga, uite ca apare si "textul" ala.

Citat

/home/xxxxxxxx/public_html/forum/language/gl/email/index.htm: Trojan.Iframe-9 FOUND
/home/xxxxxxxx/public_html/forum/language/gl/index.htm: Trojan.Iframe-9 FOUND
/home/xxxxxxxx/public_html/forum/language/gl/acp/index.htm: Trojan.Iframe-9 FOUND
/home/xxxxxxxx/public_html/forum/language/en_us/email/index.htm: Trojan.Iframe-9 FOUND

Marian · « **Răspuns #47 :** August 19, 2009, 10:31:45 am »

Se poate recompila proftpd-ul cu mod_clamav, detecteaza si face deny la idioteniile de genul, phpshell, arhive diverse, shellbots, scripturi perl folosite la atacuri dos, botnets, etc.

Marian · « **Răspuns #48 :** August 19, 2009, 10:36:56 am »

Citat din: Tomoiaga din August 19, 2009, 04:00:38 am

Eu am fost tot timpul curios de ce antivirus pe server ?

Clamav oricum banuiesc ca este deja pe server, ca motiv pentru folosirea lui impreuna cu serverul de FTP ar fi dorinta de a proteja clientii ( chiar si aceia plini cu virusi, de-si petrec veacul pe torente si dc++ )

Tomoiaga · « **Răspuns #49 :** August 19, 2009, 10:49:31 am »

motivele le-am inteles, eu incercam sa fiu realist, asta legat de un server de shared.

netvista · « **Răspuns #50 :** August 24, 2009, 08:24:25 pm »

Eu sunt de parere ca fiecare contribuie cumva la intreaga problema.
1. Utilizatorul care are nspe mii de bazaconii in pc si-l doare in cot.
2. Adminul care se bazeaza ca la el e totul sigur si nu face nimic ca sa se asigure ca asa e.

Daca nu esti patit tinzi ca crezi ca toti exagereaza sau ca inventeaza povesti.

Adrian Andreias · « **Răspuns #51 :** August 24, 2009, 08:33:51 pm »

Citat din: netvista din August 24, 2009, 08:24:25 pm

Eu sunt de parere ca fiecare contribuie cumva la intreaga problema.
1. Utilizatorul care are nspe mii de bazaconii in pc si-l doare in cot.
2. Adminul care se bazeaza ca la el e totul sigur si nu face nimic ca sa se asigure ca asa e.

Daca nu esti patit tinzi ca crezi ca toti exagereaza sau ca inventeaza povesti.

Pardon, dar la o statie infectata unde este snifferita parola (sau alta metoda locala) cam ce poate face adminul? Eventual sa nu ii dea acces la FTP. Daca la un server se taie accesul complet atunci e cel mai sigur server de pe pamant. Dar cam la ce e bun?

Un antivirus ce urmeaza linkurile poate merge. Dar asta e cam scarpinat in urechea dreapta cu mana stanga pe dupa șură.

De asta tot ziceam eu ca daca vorbim despre problema asta, sa lasam balta probleme de drepturi pe directoare si alte chestii ce isi au locul intr-un alt thread.

netvista · « **Răspuns #52 :** August 24, 2009, 08:59:47 pm »

Adi ma refeream la scenariul in care Adminul habar nu are ca tre sa faca update si inca ruleaza cu acelasi soft de acu 4 ani "ca e sigur". Ma mai refer si la aceia care lasa pe servere shared apache-ul sa ruleze fara openbasedir si care nu restrictioneaza accesul la n esuari de parola.

Nu generalizez dar sa fim serioasi.. exista si d-aia. Factorul uman este cel mai simplu de corrupt si cel mai greu de controlat.

WBF · « **Răspuns #53 :** August 24, 2009, 10:06:40 pm »

Netvista

Mai toata lumea are un firewall care blocheaza incercarile nereusite.
Care nu ajuta la nimic cand se intra cu PAROLA CORECTA si USERUL CORECCT.
La aia ce sa faci?

Legat de povestile lui Andreias cu "alea au rostul in alt thread", la fel ar avea si aberatiile cu antivirusi, exploit de kernel si alte bunatati.
Pana la urma se reduce fix la un lucru: pe langa bani, clientii mai genereaza si probleme.

Per final, ori scobesti intre mii de domenii dupa gigei care au iframe si traiesti intr-o cautare perpetua ori explici dupa de ce au mizerii pe site.
Tot ce poti face uneori este sa incerci sa protejezi serverul, global si sa le dai la oameni, daca ai, un backup.

Alte solutii nu am auzit pe aici

Tomoiaga · « **Răspuns #54 :** August 25, 2009, 02:33:44 am »

pe langa bani, tre sa mai si faci cate ceva (nu clientii genereaza problema de mai sus, ei sunt doar intermediari fara prezervativ, daca vrei sa ii implici si pe ei)

petrescs · « **Răspuns #55 :** August 25, 2009, 10:47:29 pm »

SANS mentiona saptamana trecuta despre atacuri recente cu un troian (Gumblar sau JSRedir-R) care injecteaza cod JS dupa ce captureaza parolele ftp, probabil e ceva foarte asemanator cu cazul descris de Gupi cu iframes.

Pentru acest Gumblar exista o posibila solutie (pentru combinatia cPanel/pure-ftp/clamav) la http://www.oxio.net/anti_gumblar/ - ar merita aruncata o privire daca poate fi cumva extins scriptul respectiv.

Edit: scriptul de mai sus este discutat aici: http://forums.cpanel.net/f7/solution-gumblar-iframe-javascript-hacks-stolen-ftp-passwords-127013.html

GAZDUIRE.info

Stiri:

Autor Subiect: Atac live pe ftp (Citit de 8263 ori)

Tomoiaga

Răspuns: Atac live pe ftp

Gupi

Răspuns: Atac live pe ftp

Marian

Răspuns: Atac live pe ftp

Marian

Răspuns: Atac live pe ftp

Tomoiaga

Răspuns: Atac live pe ftp

netvista

Răspuns: Atac live pe ftp

Adrian Andreias

Răspuns: Atac live pe ftp

netvista

Răspuns: Atac live pe ftp

WBF

Răspuns: Atac live pe ftp

Tomoiaga

Răspuns: Atac live pe ftp

petrescs

Răspuns: Atac live pe ftp