1/2/2013
Maksymilian Arciemowicz opublikował szczegóły ataku zdalnej odmowy dostępu do usługi na serwery ftpd na FreeBSD 9.1 W skrócie, po wysłaniu odpowiedniego ciągu znaków do serwera FTP, serwer przestaje odpowiadać.
Jak tłumaczy Arciemowicz, atak bazuje na starej luce w libc (CVE-2011-0418). Wystarczy zalogować się do serwera jako anonymous i przesłać następujący ciąg znaków (wildcard), który sprawi, że proces zacznie zużywać 100% CPU:
stat
{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}
{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}{a,b}
Devilteam.pl wypuścił filmik obrazujący atak na dość popularną w Polsce hostingownię home.pl:
Arciemowicz zastanawia się, dlaczego błąd dalej nie został poprawiony w FreeBSD (mimo, że już dawno uporało się z nim OpenBSD i NetBSD, a także Apple i Oracle) i poleca zastąpienie ftpd serwerem vsftpd.
s/1.9/9.1/g
Kto korzysta z tak starej wersji FreeBSD, jak 1.9? :D
kto korzysta z ftpd zamiast vsftpd ? ;]
z proftpd? ja od zawsze, a co?
@Patryk jakie 1.9? Mówimy o 9.1 ;]
@guzik pisze to gdyby Patryk nie zrozumiał seda ;P
Opss, to ja nie zrozumiałem was ;) sorx
Home nie korzysta z BSD.
maja GNU inetutils, które też jest podatne
ale korzystało skąd wiesz na czym stoi serwer ftp?
Off-top: co to za kawałek leci w tle tego filmu?
:)
Alborosie – Kingston Town
Hmmm, byłem dziś na jakimś blogu gdzie widziałem chyba taki
sam artykuł…
a z czego korzysta, bo pod linuxem proftpd nie jest podatne
na atak.
Nie ma dowodu na to, że proces zaczął używać 100%
procesora, także trochę słabo. Poza tym na współdzielonych są
parametry bezpieczeństwa i jednym z nich jest CPU limit, który
utnie taki proces po 30 lub 60 sekundach.
Dokładnie to samo zauważyłem. W ten sposób to można
pokazać, że podatny jest każdy system. No chyba, że na to polecenie
system powinien jakoś specjalnie odpowiedzieć, a brak tej
odpowiedzi jest dowodem.
“pis.org.pl też podatne”, no ładnie – tylko bez takiej
inspiracji. Pozdrawiam :)
“dość popularną w Polsce hostingownię home.pl” Autor chyba
się z choinki urwał
http://www.tvn24.pl/hakerzy-uderzyli-w-twittera-wykradli-dane-250-tys-kont,303987,s.html
skoro i tak musisz to akceptować to ciekawostke macie ^ ^
Nie dziala :(
OK, więc napiszę co ja widziałem na filmiku. Gość zalogował
się na ftp’a, wrzucił ciąg znaków i rozwalił sobie sesję ftp. Tyle.
Na pewno nie widziałem żeby padła cała usługa ftp, bo nawet
gościowi nie chciało się zalogować ponownie. Moim zdaniem tytuł
lekko na wyrost.
takie to już są metody devil team, wziac czyjegos sploita i go użyć. Nie powinienes sie spodziewac zbyt wiele po nich :)
Podobnym atakiem padło kiedyć http://ftp.openbsd.org i http://ftp.netbsd.org. Problem był tylko z firewall ale pomogło dynamiczne ip. Błąd działa więc używanie ftpd pod freebsd to porażka. Polecam vsftpd. Chris nieźle się napocił aby to było bezpieczne.