Piccoli lamer crescono

nazarenolatella

12 anni fa

E’ praticamente da ieri notte che mi ritrovo una sfilza di log generati da swatch, in ascolto sul servizio FTP.

Eccone uno stralcio:

host = 211.47.68.122 : username = administrador : password = administrateurs
host = 211.47.68.122 : username = administrador : password = administrateur
host = 211.47.68.122 : username = administrador : password = netgear1
host = 211.47.68.122 : username = administrador : password = demo
host = 211.47.68.122 : username = administrador : password = teste
host = 211.47.68.122 : username = administrador : password = garage
host = 14.160.38.182 : username = administrator : password = administrator123456                                                                                        7890
host = 14.160.38.182 : username = administrator : password = administrator012345                                                                                        6789
host = 14.160.38.182 : username = administrator : password = administrator012345                                                                                        678
host = 211.47.68.122 : username = administrador : password = info
host = 211.47.68.122 : username = administrador : password = postmaster
host = 211.47.68.122 : username = administrador : password = backup
host = 14.160.38.182 : username = administrator : password = administrator012345                                                                                        67
host = 14.160.38.182 : username = administrator : password = administrator012345                                                                                        6
host = 14.160.38.182 : username = administrator : password = administrator012345
host = 211.47.68.122 : username = administrador : password = spam
host = 211.47.68.122 : username = administrador : password = access
host = 211.47.68.122 : username = administrador : password = sysadmin
host = 14.160.38.182 : username = administrator : password = administrator01234
host = 14.160.38.182 : username = administrator : password = administrator0123
host = 14.160.38.182 : username = administrator : password = administrator012

Ora, non vorrei dire, ma a giudicare dalle credenziali utilizzate (soprattutto lo username), gli attacchi provengono da un unico lamer. Ok, forse così facendo crede di aumentare la “potenza di fuoco”, ma per riuscirci davvero dovrebbe usare dizionari diversi per ciascuna macchina da cui lancia i tentativi di login, ma soprattutto dovrebbe prima fare un fingerprint dell’OS per capire quali sono gli utenti standard (non ho mai visto una macchina Unix like con utente administrator).

Come al solito: ACL sul router e passa la paura.

Alla prossima.

Piccoli lamer cresconoultima modifica: 2012-06-22T10:18:00+02:00da

Reposta per primo quest’articolo