E’ praticamente da ieri notte che mi ritrovo una sfilza di log generati da swatch, in ascolto sul servizio FTP.
Eccone uno stralcio:
host = 211.47.68.122 : username = administrador : password = administrateurs host = 211.47.68.122 : username = administrador : password = administrateur host = 211.47.68.122 : username = administrador : password = netgear1 host = 211.47.68.122 : username = administrador : password = demo host = 211.47.68.122 : username = administrador : password = teste host = 211.47.68.122 : username = administrador : password = garage host = 14.160.38.182 : username = administrator : password = administrator123456 7890 host = 14.160.38.182 : username = administrator : password = administrator012345 6789 host = 14.160.38.182 : username = administrator : password = administrator012345 678 host = 211.47.68.122 : username = administrador : password = info host = 211.47.68.122 : username = administrador : password = postmaster host = 211.47.68.122 : username = administrador : password = backup host = 14.160.38.182 : username = administrator : password = administrator012345 67 host = 14.160.38.182 : username = administrator : password = administrator012345 6 host = 14.160.38.182 : username = administrator : password = administrator012345 host = 211.47.68.122 : username = administrador : password = spam host = 211.47.68.122 : username = administrador : password = access host = 211.47.68.122 : username = administrador : password = sysadmin host = 14.160.38.182 : username = administrator : password = administrator01234 host = 14.160.38.182 : username = administrator : password = administrator0123 host = 14.160.38.182 : username = administrator : password = administrator012
Ora, non vorrei dire, ma a giudicare dalle credenziali utilizzate (soprattutto lo username), gli attacchi provengono da un unico lamer. Ok, forse così facendo crede di aumentare la “potenza di fuoco”, ma per riuscirci davvero dovrebbe usare dizionari diversi per ciascuna macchina da cui lancia i tentativi di login, ma soprattutto dovrebbe prima fare un fingerprint dell’OS per capire quali sono gli utenti standard (non ho mai visto una macchina Unix like con utente administrator).
Come al solito: ACL sul router e passa la paura.
Alla prossima.
Piccoli lamer cresconoultima modifica: 2012-06-22T10:18:00+02:00da
Reposta per primo quest’articolo