E' praticamente da ieri notte che mi ritrovo una sfilza di log generati da swatch, in ascolto sul servizio FTP.
Eccone uno stralcio:
host = 211.47.68.122 : username = administrador : password = administrateurs
host = 211.47.68.122 : username = administrador : password = administrateur
host = 211.47.68.122 : username = administrador : password = netgear1
host = 211.47.68.122 : username = administrador : password = demo
host = 211.47.68.122 : username = administrador : password = teste
host = 211.47.68.122 : username = administrador : password = garage
host = 14.160.38.182 : username = administrator : password = administrator123456 7890
host = 14.160.38.182 : username = administrator : password = administrator012345 6789
host = 14.160.38.182 : username = administrator : password = administrator012345 678
host = 211.47.68.122 : username = administrador : password = info
host = 211.47.68.122 : username = administrador : password = postmaster
host = 211.47.68.122 : username = administrador : password = backup
host = 14.160.38.182 : username = administrator : password = administrator012345 67
host = 14.160.38.182 : username = administrator : password = administrator012345 6
host = 14.160.38.182 : username = administrator : password = administrator012345
host = 211.47.68.122 : username = administrador : password = spam
host = 211.47.68.122 : username = administrador : password = access
host = 211.47.68.122 : username = administrador : password = sysadmin
host = 14.160.38.182 : username = administrator : password = administrator01234
host = 14.160.38.182 : username = administrator : password = administrator0123
host = 14.160.38.182 : username = administrator : password = administrator012
Ora, non vorrei dire, ma a giudicare dalle credenziali utilizzate (soprattutto lo username), gli attacchi provengono da un unico lamer. Ok, forse così facendo crede di aumentare la "potenza di fuoco", ma per riuscirci davvero dovrebbe usare dizionari diversi per ciascuna macchina da cui lancia i tentativi di login, ma soprattutto dovrebbe prima fare un fingerprint dell'OS per capire quali sono gli utenti standard (non ho mai visto una macchina Unix like con utente administrator).
Come al solito: ACL sul router e passa la paura.
Alla prossima.