12:43
1/2/2013

Maksymilian Arciemowicz opublikował szczegóły ataku zdalnej odmowy dostępu do usługi na serwery ftpd na FreeBSD 9.1 W skrócie, po wysłaniu odpowiedniego ciągu znaków do serwera FTP, serwer przestaje odpowiadać.

freebsd

FreeBSD

Jak tłumaczy Arciemowicz, atak bazuje na starej luce w libc (CVE-2011-0418). Wystarczy zalogować się do serwera jako anonymous i przesłać następujący ciąg znaków (wildcard), który sprawi, że proces zacznie zużywać 100% CPU:

stat
{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}
{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}

Devilteam.pl wypuścił filmik obrazujący atak na dość popularną w Polsce hostingownię home.pl:

Arciemowicz zastanawia się, dlaczego błąd dalej nie został poprawiony w FreeBSD (mimo, że już dawno uporało się z nim OpenBSD i NetBSD, a także Apple i Oracle) i poleca zastąpienie ftpd serwerem vsftpd.

Przeczytaj także:


22 komentarzy

Dodaj komentarz
  1. s/1.9/9.1/g

  2. Kto korzysta z tak starej wersji FreeBSD, jak 1.9? :D

  3. kto korzysta z ftpd zamiast vsftpd ? ;]

    • z proftpd? ja od zawsze, a co?

  4. @Patryk jakie 1.9? Mówimy o 9.1 ;]
    @guzik pisze to gdyby Patryk nie zrozumiał seda ;P

    • Opss, to ja nie zrozumiałem was ;) sorx

  5. Home nie korzysta z BSD.

    • maja GNU inetutils, które też jest podatne

    • ale korzystało skąd wiesz na czym stoi serwer ftp?

  6. Off-top: co to za kawałek leci w tle tego filmu?
    :)

    • Alborosie – Kingston Town

  7. Hmmm, byłem dziś na jakimś blogu gdzie widziałem chyba taki
    sam artykuł…

  8. a z czego korzysta, bo pod linuxem proftpd nie jest podatne
    na atak.

  9. Nie ma dowodu na to, że proces zaczął używać 100%
    procesora, także trochę słabo. Poza tym na współdzielonych są
    parametry bezpieczeństwa i jednym z nich jest CPU limit, który
    utnie taki proces po 30 lub 60 sekundach.

    • Dokładnie to samo zauważyłem. W ten sposób to można
      pokazać, że podatny jest każdy system. No chyba, że na to polecenie
      system powinien jakoś specjalnie odpowiedzieć, a brak tej
      odpowiedzi jest dowodem.

  10. “pis.org.pl też podatne”, no ładnie – tylko bez takiej
    inspiracji. Pozdrawiam :)

  11. “dość popularną w Polsce hostingownię home.pl” Autor chyba
    się z choinki urwał

  12. http://www.tvn24.pl/hakerzy-uderzyli-w-twittera-wykradli-dane-250-tys-kont,303987,s.html
    skoro i tak musisz to akceptować to ciekawostke macie ^ ^

  13. Nie dziala :(

  14. OK, więc napiszę co ja widziałem na filmiku. Gość zalogował
    się na ftp’a, wrzucił ciąg znaków i rozwalił sobie sesję ftp. Tyle.
    Na pewno nie widziałem żeby padła cała usługa ftp, bo nawet
    gościowi nie chciało się zalogować ponownie. Moim zdaniem tytuł
    lekko na wyrost.

    • takie to już są metody devil team, wziac czyjegos sploita i go użyć. Nie powinienes sie spodziewac zbyt wiele po nich :)

  15. Podobnym atakiem padło kiedyć http://ftp.openbsd.org i http://ftp.netbsd.org. Problem był tylko z firewall ale pomogło dynamiczne ip. Błąd działa więc używanie ftpd pod freebsd to porażka. Polecam vsftpd. Chris nieźle się napocił aby to było bezpieczne.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: