Close
Cerca
Filters

Occhio agli utenti "zombie"

Occhio agli utenti "zombie"

OK, lo ammetto, anch'io ho fatto il sistemista, e anch'io ho creato, nel tempo e nei vari server dei clienti, il "classico" utente "zombie" utilizzato per i test di connessione e funzionamento.

Si tratta di un "esercito" di utenti, pronti all'uso, alcuni addirittura con privilegi amministrativi denominati:

  • user
  • utente
  • test
  • test1
  • ftp
  • www

e diversi altri in diverse varianti, il concetto è che TUTTI hanno utilizzato, in passato, questi utenti, e gli hacker lo sanno bene:

Questo è un esempio di un log ftp:

2017-03-17 15:20:52 212.112.119.xxx - - SDADMIN58265207 - 94.177.168.106 21 ControlChannelOpened - - 0 0 0 0 0
2017-03-17 15:20:52 212.112.119.xxx - FTPSVC5 SDADMIN58265207 - 94.177.xxx.106 21 USER ftp 331 0 0 23 10 0
2017-03-17 15:20:52 212.112.119.xxx - FTPSVC5 SDADMIN58265207 - 94.177.xxx.106 21 PASS 123456789 530 1326 42 25 16 0
2017-03-17 15:20:52 212.112.119.xxx - FTPSVC5 SDADMIN58265207 - 94.177.xxx.106 21 ControlChannelClosed - - 0 0 75 26 422

Si tratta di un server della GazProm Neft Kyrgyzstan (probabilmente infetto) che "tenta" un accesso ftp utilizzando come utente "ftp" e come password "123456789".

Il protocollo FTP è presente in tutti i server web e, chi lo usa ai fini di hosting, solitamente lascia accesso ai propri utenti nella classica porta 21 (o 22 se FTPs).

Eseguire un banale controllo, alla ricerca di utenti "zombi" vi permette di andare ad eliminare (un bel colpo in testa !) queste credenziali ed evitare di trasformare il vostro server in un esercito zombi pronto a sfidare l'ennessimo attacco...

Lascia un commento