SeedsLight

仕事先でproftpd経由だと思われる侵入が発見された。
幸い、個人情報などが皆無というか・・・
社内用のサーバだったのでエンドユーザーに迷惑かかることなく事なきを得たのだが、
強い権限で動かしていたらと思うとぞっとする。

調べたら、12月の頭がかなり危険だった様子。

http://www.watchguard.co.jp/secwire/2010/12/proftpd.html

上記で書かれているように、配布元すらゼロデイ攻撃にあって、バックドア入りのインストールソースを
ばら撒いてしまった期間があるとか・・・

http://vrda.jpcert.or.jp/feed/ja/NISTNVD_CVE-2010-4221_AD_1.html

これを見てもわかるようにほぼ最新のソースですら危ないという状態。

もし、侵入されてしまっていたら、/etc/ディレクトリにランダムな文字列のファイルが一杯出来ているかも。
（職場でのパターンでした）
ps でも見えるので、全てKILL すべき。バックドア開けているので気をつけて。

ファイアーウォールが使えるなら、FTP可能なIPを絞ることや、外向けの怪しいポートは塞いでおきましょう。

とりあえず、21番ポートをやめるとか、SFTPにするとかっていう対応は即座に検討したほうが良いでしょうね。
※ProftpdはSFTPプロトコルをしゃべれるみたいなので、自宅はFTPやめちゃいましたがこっちの脆弱性はどうだろう?

Read the rest of this entry »