Piccoli lamer crescono

Creato il 22 giugno 2012 da Nightfly

E' praticamente da ieri notte che mi ritrovo una sfilza di log generati da swatch, in ascolto sul servizio FTP.

Eccone uno stralcio:

host = 211.47.68.122 : username = administrador : password = administrateurs
host = 211.47.68.122 : username = administrador : password = administrateur
host = 211.47.68.122 : username = administrador : password = netgear1
host = 211.47.68.122 : username = administrador : password = demo
host = 211.47.68.122 : username = administrador : password = teste
host = 211.47.68.122 : username = administrador : password = garage
host = 14.160.38.182 : username = administrator : password = administrator123456   7890
host = 14.160.38.182 : username = administrator : password = administrator012345   6789
host = 14.160.38.182 : username = administrator : password = administrator012345   678
host = 211.47.68.122 : username = administrador : password = info
host = 211.47.68.122 : username = administrador : password = postmaster
host = 211.47.68.122 : username = administrador : password = backup
host = 14.160.38.182 : username = administrator : password = administrator012345   67
host = 14.160.38.182 : username = administrator : password = administrator012345   6
host = 14.160.38.182 : username = administrator : password = administrator012345
host = 211.47.68.122 : username = administrador : password = spam
host = 211.47.68.122 : username = administrador : password = access
host = 211.47.68.122 : username = administrador : password = sysadmin
host = 14.160.38.182 : username = administrator : password = administrator01234
host = 14.160.38.182 : username = administrator : password = administrator0123
host = 14.160.38.182 : username = administrator : password = administrator012

Ora, non vorrei dire, ma a giudicare dalle credenziali utilizzate (soprattutto lo username), gli attacchi provengono da un unico lamer. Ok, forse così facendo crede di aumentare la "potenza di fuoco", ma per riuscirci davvero dovrebbe usare dizionari diversi per ciascuna macchina da cui lancia i tentativi di login, ma soprattutto dovrebbe prima fare un fingerprint dell'OS per capire quali sono gli utenti standard (non ho mai visto una macchina Unix like con utente administrator).

Come al solito: ACL sul router e passa la paura.

Alla prossima.