12:43
1/2/2013

Maksymilian Arciemowicz opublikował szczegóły ataku zdalnej odmowy dostępu do usługi na serwery ftpd na FreeBSD 9.1 W skrócie, po wysłaniu odpowiedniego ciągu znaków do serwera FTP, serwer przestaje odpowiadać.

freebsd

FreeBSD

Jak tłumaczy Arciemowicz, atak bazuje na starej luce w libc (CVE-2011-0418). Wystarczy zalogować się do serwera jako anonymous i przesłać następujący ciąg znaków (wildcard), który sprawi, że proces zacznie zużywać 100% CPU:

stat
{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}
{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}

Devilteam.pl wypuścił filmik obrazujący atak na dość popularną w Polsce hostingownię home.pl:

Arciemowicz zastanawia się, dlaczego błąd dalej nie został poprawiony w FreeBSD (mimo, że już dawno uporało się z nim OpenBSD i NetBSD, a także Apple i Oracle) i poleca zastąpienie ftpd serwerem vsftpd.

Przeczytaj także:



22 komentarzy

Dodaj komentarz
  1. s/1.9/9.1/g

  2. Kto korzysta z tak starej wersji FreeBSD, jak 1.9? :D

  3. kto korzysta z ftpd zamiast vsftpd ? ;]

    • z proftpd? ja od zawsze, a co?

  4. @Patryk jakie 1.9? Mówimy o 9.1 ;]
    @guzik pisze to gdyby Patryk nie zrozumiał seda ;P

    • Opss, to ja nie zrozumiałem was ;) sorx

  5. Home nie korzysta z BSD.

    • maja GNU inetutils, które też jest podatne

    • ale korzystało skąd wiesz na czym stoi serwer ftp?

  6. Off-top: co to za kawałek leci w tle tego filmu?
    :)

    • Alborosie – Kingston Town

  7. Hmmm, byłem dziś na jakimś blogu gdzie widziałem chyba taki
    sam artykuł…

  8. a z czego korzysta, bo pod linuxem proftpd nie jest podatne
    na atak.

  9. Nie ma dowodu na to, że proces zaczął używać 100%
    procesora, także trochę słabo. Poza tym na współdzielonych są
    parametry bezpieczeństwa i jednym z nich jest CPU limit, który
    utnie taki proces po 30 lub 60 sekundach.

    • Dokładnie to samo zauważyłem. W ten sposób to można
      pokazać, że podatny jest każdy system. No chyba, że na to polecenie
      system powinien jakoś specjalnie odpowiedzieć, a brak tej
      odpowiedzi jest dowodem.

  10. “pis.org.pl też podatne”, no ładnie – tylko bez takiej
    inspiracji. Pozdrawiam :)

  11. “dość popularną w Polsce hostingownię home.pl” Autor chyba
    się z choinki urwał

  12. http://www.tvn24.pl/hakerzy-uderzyli-w-twittera-wykradli-dane-250-tys-kont,303987,s.html
    skoro i tak musisz to akceptować to ciekawostke macie ^ ^

  13. Nie dziala :(

  14. OK, więc napiszę co ja widziałem na filmiku. Gość zalogował
    się na ftp’a, wrzucił ciąg znaków i rozwalił sobie sesję ftp. Tyle.
    Na pewno nie widziałem żeby padła cała usługa ftp, bo nawet
    gościowi nie chciało się zalogować ponownie. Moim zdaniem tytuł
    lekko na wyrost.

    • takie to już są metody devil team, wziac czyjegos sploita i go użyć. Nie powinienes sie spodziewac zbyt wiele po nich :)

  15. Podobnym atakiem padło kiedyć http://ftp.openbsd.org i http://ftp.netbsd.org. Problem był tylko z firewall ale pomogło dynamiczne ip. Błąd działa więc używanie ftpd pod freebsd to porażka. Polecam vsftpd. Chris nieźle się napocił aby to było bezpieczne.

Odpowiadasz na komentarz X

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: