Il lunedì mattina ed il PenTest non richiesto

E’ un lunedì mattina standard, e per standard intendo “voglia di fare pari a -infinito”. Mentre mi dirigo a lavoro sento vibrare lo smartphone. Accosto, rapida occhiata alle email e mi ritrovo tutta una serie di messaggi generati da swatch che mi segnalano dei tentativi di login FTP falliti.

scan, nmap, vulnerability, ftp, anonymous, metasploit

Uhm, “il classico cinese”, dico io, anche a giudicare dall’indirizzo IP sorgente, che a primo acchito sembra tutto fuorchè italiano.

Nulla di insolito quindi, metto la freccia e riparto. Purtroppo, però, ripartono anche le email di swatch.

Fast forward di un’ora e mezza (circa). Arrivo a lavoro, accendo il mio laptop, mi connetto via SSH su uno dei miei server a lancio un nmap verso l’IP sorgente dell’attacco. Ecco il risultato:

nightfly@nightbox:~$ sudo nmap -sS 216.17.107.174
[sudo] password for nightfly:

Starting Nmap 5.00 ( http://nmap.org ) at 2012-05-28 09:21 CEST
Interesting ports on 216.17.107.174:
Not shown: 855 closed ports, 144 filtered ports
PORT   STATE SERVICE
80/tcp open  http

Apro il browser, accedo al suddetto sito mi ritrovo una home page il cui contenuto è il seguente:

 To Whom It May ConcernThis system is coordinating an internet-wide survey of open TCP ports, service banners, SNMP system descriptions, and NetBIOS name queries. The results of this survey will be used to uncover systematic vulnerabilities in the equipment provided by ISPs to their customers. My goal is to collect this information, determine which ISPs are exposing their customers to internet-based attacks, and contact those ISPs with my findings. If you would like to have your network excluded from this scan, please send an email to admin@critical.io. Please include a list of netblocks or at the least the domain name or ASN that you would like excluded. If you are concerned about what an attacker can discover about your network using these types of probes, there are great free tools such as Metasploit and Nmap that can be used to gather this information on your own.- HD Moore

(omissis)

Ora, non vorrei sollevare troppe polemiche in merito, ma è necessario usare Metasploit per tentare un login FTP anonimo oppure utilizzando come username ftp e come password <password>? Non ci credete? Ecco la prova:

nightfly@navigare-server:~$ cat /var/log/vsftpd.log | grep 216.17.107.174
 Mon May 28 07:23:13 2012 [pid 14837] CONNECT: Client "216.17.107.174"
 Mon May 28 07:23:13 2012 [pid 14837] FTP response: Client "216.17.107.174", "220                                                                                         Welcome to E.T.M. FTP service."
 Mon May 28 07:23:13 2012 [pid 14837] FTP command: Client "216.17.107.174", "USER                                                                                         ftp"
 Mon May 28 07:23:13 2012 [pid 14837] [ftp] FTP response: Client "216.17.107.174"                                                                                        , "331 Please specify the password."
 Mon May 28 07:23:14 2012 [pid 14837] [ftp] FTP command: Client "216.17.107.174",                                                                                         "PASS <password>"
 Mon May 28 07:23:16 2012 [pid 14836] [ftp] FAIL LOGIN: Client "216.17.107.174"
 Mon May 28 07:23:17 2012 [pid 14837] [ftp] FTP response: Client "216.17.107.174"                                                                                        , "530 Login incorrect."
 Mon May 28 07:23:17 2012 [pid 14837] FTP command: Client "216.17.107.174", "HELP                                                                                        "
 Mon May 28 07:23:17 2012 [pid 14837] FTP response: Client "216.17.107.174", "530                                                                                         Please login with USER and PASS."
 Mon May 28 07:23:17 2012 [pid 14837] FTP command: Client "216.17.107.174", "QUIT                                                                                        "
 Mon May 28 07:23:17 2012 [pid 14837] FTP response: Client "216.17.107.174", "221                                                                                         Goodbye."

Morale della favola: su Internet ci sono troppi millantatori che si spacciano per esperti di sicurezza informatica e sinceramente credo che questi white scrip kiddie dovrebbero smetterla di rompere le balle.

Alla prossima.

Il lunedì mattina ed il PenTest non richiestoultima modifica: 2012-05-28T09:42:59+02:00da nazarenolatella
Reposta per primo quest’articolo

2 pensieri su “Il lunedì mattina ed il PenTest non richiesto

  1. Ciao IBF,
    so chi è Moore ed il fatto che abbia collaborato alla creazione di Metasploit non lo rende immune dalle mie critiche. Mi spiego meglio: se tu fai un pentest su una macchina, devi prima avere un’autorizzazione ESPLICITA da parte dell’amministratore/proprietario della suddetta, altrimenti anche il semplice portscan è considerato reato.
    Qui si è andato oltre, nel senso che ha anche tentato di effettuare un bruteforce sul servizio FTP.
    Quindi, per me è script kiddie non solo chi non ha le conoscenze tecniche per capire a fondo ciò che sta facendo, ma anche chi ignora la legislazione (per quanto i suoi scopi possano essere nobili).
    In definitiva, per risponderti in due parole: ho capito cosa è accaduto e conosco bene di chi stiamo parlando, ma ciò non toglie il fatto che è stato commesso un attacco (non richiesto) nei confronti della mia macchina.

    A presto,
    Nazareno.

Lascia un commento