Contraseñas FTP de cientos de sitios españoles publicadas en Internet

Enviado por admin el 3. Octubre 2007 - 17:32.

Una empresa española detectó recientemente la infección de su sitio web por malware y comprobó cómo los accesos se realizaban mediante usuario y password a través de su servidor FTP.

El siguiente paso fue localizar la brecha: ¿cómo se habían hecho los asaltantes con los datos de acceso? Bastaron ciertas sospechas, un poco de suerte y cierto trabajo para encontrar las contraseñas de acceso de la empresa publicadas en un servidor web oriental, libremente accesibles sin ningún tipo de impedimento.

Pero no son únicamente las contraseñas de esta empresa las que están disponibles on-line mientras escribo estas líneas. Se trata de las contraseñas de acceso al servidor de FTP de cientos de servidores españoles...

Ignoro qué proporción de estas contraseñas son plenamente funcionales, aunque el servidor donde están publicadas no da la impresión de estar desactualizado.

En estas circunstancias me ha parecido que resultaría temerario hacer pública la URL en cuestión, ante el riesgo de que gente sin demasiados escrúpulos acabara de rematar la faena. Sin embargo, los datos concretos están desde ahora mismo a disposición de los cuerpos de seguridad interesados.

Tampoco quiero alarmar a nadie, pero creo que no estaría de más proceder a cambiar las contraseñas de acceso a nuestros servidores de FTP, y desde luego con la máxima celeridad si existe la más mínima sospecha de anomalías.

»

Comentarios

Selecciona arriba tu forma preferida de visualizar
los comentarios y pulsa el botón para guardar tus
preferencias. Éstas sólo se recordarán para tus
próximas visitas si eres usuario registrado.

Mieerrrrda

Enviado por wontolla el 3. Octubre 2007 - 17:41.

Pero corriendo

Podrias publicar

Enviado por anónimo el 3. Octubre 2007 - 17:51.

la lista de sitios, sin los usuarios ni las password, simplemente para saber si podemos estar afectados o no.

linkORgtfo

Enviado por anónimo el 3. Octubre 2007 - 18:52.

link or GTFO!!!

menudo susto nos llevamos aquel día

Enviado por anónimo el 3. Octubre 2007 - 19:22.

En teoria todos los clientes que fuimos afectados por esa brecha de seguridad fuimos avisados por correo electrónico, y además la empresa en cuestión ha modificado la política de contraseñas, desactivando todas aquellas cuentas que no cumplan la nueva política. Imagino que al margen de eso tambien habrán tomado otras mdidas de seguridad (por el precio que nos cobran por los servicios bien podrían haberlo hecho antes).

Encontrar la url, ha sido realmente sencillo... y tristemente puedo comprobar como aparecen datos de algun dominio mio (evidentemente no operativos ya).

sitios

Enviado por anónimo el 3. Octubre 2007 - 19:25.

Tal vez en lugar de publicar la URL donde descargar la lista, podrías publicar sólo la lista de sitios ftp que pueden estar afectados. Eso ayudaría a alertar a los perjudicados sin facilitarles el trabajo a los que quieren hacer daño.

¿También empresas de alojamiento?

Enviado por anónimo el 3. Octubre 2007 - 20:23.

Y las empresas de "hosting"... ¿también están afectadas? En ese caso, las claves FTP aludidas ¿corresponden a cuentas propias de la empresa o a cuentas de clientes?

y los afectados

Enviado por anónimo el 3. Octubre 2007 - 20:30.

Entiendo que no se publique el sitio web... ¿pero hay algúna forma de saber si mi empresa X está afectada?

¿Qué tienen en común esos servidores?

Enviado por Dondado el 3. Octubre 2007 - 21:53.

Dondado

Algo tendrán en común estos servidores para que les hayan sacado a todos las contraseñas, ¿misma versión de SO?, venga dinos algo más.

alarmado!

Enviado por anónimo el 3. Octubre 2007 - 22:02.

estoy alarmado!! por favor den mas datos! :( solo servidores españoles?? dreamhost se ve afectad@?? gracias!

Ya avisé yo a cierto proveedor de alojamiento hace un mes o así

Enviado por anónimo el 3. Octubre 2007 - 22:07.

Lo que si bien el sitio ese donde están las contraseñas, si es el mismo que el que encontré yo, es oriental (pero no muy extremo oriental), esta registrado en USA.

Y la verdad es que la investigación que hice para localizar dicho sitio, fue bastante inmediata. Sería bastante interesante averiguar qué vulnerabilidad han aprovechado haberse hecho con ellas.

Respecto a mi aviso a dicho proveedor de alojamiento, me mosquea bastante que no recibí ni un triste acuse de recibo (lo pedí expresamente), solo espero que ya estén los tramites en marcha para que desaparezca dicho sitio y que, si procede, le busquen las vueltas al propietario.

12siguientefinal

Opinar

Salvo circunstancias especiales LOS COMENTARIOS DE ESTE SITIO SERÁN MODERADOS.

Como norma general, en este sitio NO SE PUBLICARÁN aquellos comentarios que incluyan datos personales, ni direcciones de correo, ni ninguna otra forma de establecer contactos privados o comerciales. Tampoco los que no se ajusten al tema, a la netiqueta, la ortografía o la educación, así como los comentarios ofensivos o claramente publicitarios, los que no aporten nada a la discusión o los que pretendan suplantar a terceras personas.

En cualquier caso los comentarios publicados en este sitio expresan sólo la opinión de su autor, quien será el único responsable -incluso ante la Ley- de los mismos. La publicación de cualquier comentario no supone en absoluto la conformidad del responsable de este sitio con su contenido.

Para poder enviar tus comentarios no necesitas ningún registro, pero has de permitir las cookies del sitio. Sólo si deseas disponer de un alias permanente has de registrarte.

Si no aceptas estas condiciones, por favor, absténte de participar en los debates. Muchas gracias

Kriptópolis, 21 de noviembre de 2008.

  • Etiquetas HTML permitidas: <a> <em> <strong> <ul> <ol> <li> <p> <u> <br><strike> <blockquote> <div>

Más información sobre las opciones de formato...

CAPTCHA
Esta prueba busca evitar la entrada de mensajes basura automatizados. Muchas gracias por tu colaboración.
12 + 4 =
Resuelve esta sencilla operación e introduce el resultado.