Cracking in a nutshell
Jedna od prednosti broadband Interneta i večite prisutnosti na istom je mogućnost da se preko log fajlova prate aktivnosti zlonamerni ljudi koji pokušavaju da iskoriste vaš sistem u neke svoje svrhe, naravno bez vaše dozvole.
Čitanje log fajlova na ruteru je moja jutarnja zanimacija, i evo šta sam danas otkrio.
Log fajl ftp servera kaže ovo:
Dakle, neko iz Francuske (preko Wanadoo provajdera) je prvo uploadovao fajl od 1M na moj ftp server, zatim pokušao da ga pročita, pa kad to nije uspelo, poslao je ASP skriptu s nadom da će moći da preko nje sazna nešto više o sistemu. Naravno, ni to nije uspelo. Ovde je kratki isečak iz te skripte:
ASP skripa naravno nije imala nikakvog efekta, pošto je u pitanju Slackware Linux sistem, a napadač je pokušao da iskoristi jednu od brojnih Windows rupa. Očigledno nije ni bio svestan da je u pitanju Linux, pošto mnogi crackeri direktno ciljaju na Windowse, zna se iz kojih razloga.
Fajl od 1M je bio postavljen kao test, pošto ako je moguće poslati fajl, a zatim ga i pročitati, onda se takvi serveri vrlo brzo iskoriste kao relay mašine za ko zna šta. I zato je vrlo bitno zaštiti ti se od toga, ukoliko već morate da imate FTP server koji dozvoljava upload fajlova, kao ja.
Kod VSFTPD (Very Secure FTP Daemon) dovoljno je uključiti sledeću opciju u konfiguracionom fajlu:
Tako će moći samo da se šalju fajlovi, ali ne i da se čitaju oni koji su već poslani. Takođe, dobra praksa je čitati log fajlove s vremena na vreme.
Čitanje log fajlova na ruteru je moja jutarnja zanimacija, i evo šta sam danas otkrio.
Log fajl ftp servera kaže ovo:
Sat Feb 11 13:33:00 2006 71 86.198.48.17 1048578 /incoming/1mbtest.ptf b _ i a Hgpuser@home.com ftp 0 * c
Sat Feb 11 12:33:00 2006 1 86.198.48.17 0 /incoming/1mbtest.ptf b _ o a Hgpuser@home.com ftp 0 * i
Sat Feb 11 12:33:01 2006 1 86.198.48.17 2648 /incoming/space.asp a _ i a Hgpuser@home.com ftp 0 * cDakle, neko iz Francuske (preko Wanadoo provajdera) je prvo uploadovao fajl od 1M na moj ftp server, zatim pokušao da ga pročita, pa kad to nije uspelo, poslao je ASP skriptu s nadom da će moći da preko nje sazna nešto više o sistemu. Naravno, ni to nije uspelo. Ovde je kratki isečak iz te skripte:
'Drive information script by Garet Jax
...
Set fs = CreateObject("Scripting.FileSystemObject")
...
If d.DriveType = 3 Then
dtype = "Network"
If d.ShareName = "" Then
dname = " "
Else
dname = d.ShareName
End If
...ASP skripa naravno nije imala nikakvog efekta, pošto je u pitanju Slackware Linux sistem, a napadač je pokušao da iskoristi jednu od brojnih Windows rupa. Očigledno nije ni bio svestan da je u pitanju Linux, pošto mnogi crackeri direktno ciljaju na Windowse, zna se iz kojih razloga.
Fajl od 1M je bio postavljen kao test, pošto ako je moguće poslati fajl, a zatim ga i pročitati, onda se takvi serveri vrlo brzo iskoriste kao relay mašine za ko zna šta. I zato je vrlo bitno zaštiti ti se od toga, ukoliko već morate da imate FTP server koji dozvoljava upload fajlova, kao ja.
Kod VSFTPD (Very Secure FTP Daemon) dovoljno je uključiti sledeću opciju u konfiguracionom fajlu:
local_umask=022Tako će moći samo da se šalju fajlovi, ali ne i da se čitaju oni koji su već poslani. Takođe, dobra praksa je čitati log fajlove s vremena na vreme.
