[IIS] e [FTP] Tentativi di "penetrare" il server FTP

[PaoloWeb]

Salve a tutti. Gestisco un server con SO Windows Server 2003 che ospita tanto un web server quanto un FTP server (anche un mail server, ma questo è ininfluente). Anche l' FTP server è gestito direttamente dal SO (come il web server): ad ogni account FTP corrisponde un utente e, naturalmente, una directory virtuale del sito FTP predefinito.
l' account Administrator entra, come account FTP nella directory generale dei siti web ospitati intepub/ftproot.
Ecco il mio problema: da alcuni mesi un (o più) hacker sta provando ad entrare nel server FTP tentando svariate combinazioni account/password, ma molto più spesso (ovviamente) con l' account Administrator (predefinito nel SO). Ci prova tutti i giorni (sempre da un IP diverso, ovviamente) per una mezz' oretta/tre quarti d' ora (lo vedo negli avvisi di sistema) ed in questo tempo riesce a fare con il solo account Administrator svariate centinaia di tentativi di password. La password di Administrator è di 8 caratteri, tra numeri e lettere e quindi credo che le combinazioni possibili siano tantissime (più di un miliardo?) ma, poichè ci prova tutti i giorni ho paura che tra settimane o anche mesi ci possa riuscire. Potrebbe essere una soluzione cambiare la password dell' account Administrator (magari portandola a 10 o 12 caratteri alfanumerici)? La sostituzione della password comporta problemi? Il sistema utilizza frequentemente l' account per molte sue operazioni "automatiche" ma credo che ovviamente questo non costituisca un problema poichè il sistema "tiene" memorizzata la password dell' account. Ho, però, più di un database MySql creato con questo account, il cambio di password ne influenzerebbe il funzionamento? Insomma, il cambio password di Administrator comprometterebbe anche minimamente il funzionamento del server? Esistono altre soluzioni per risolvere definitivamente il problema?
Grazie a chiunque mi sappia (o almeno tenti) dare una mano.
Paolo

[PaoloWeb]

up

[comas17]

Password composta da 8 lettere minuscole/maiuscole e numeri

26 lettere minuscole
26 lettere maiuscole
10 numeri
--
62 caratteri

62^8 (62 all'ottava)
cioè = "218.340.105.584.896" in poche parole 218 bilioni combinazioni possibili.

da: http://www.spysystem.it/portal/index...=200&scope=all

Immaginiamo 10 tentativi al secondo per 24 ore = 864.000 tentativi
Tutti i giorni dell'anno = 315.360.000 tentativi

Numero di anni necessari per provarle tutte = 218.340.105.584.896 / 315.360.000 = 692.351 (circa)

.....

[PaoloWeb]

Chiaro, preciso e convincente. Diciamo che se anche se io dovessi vivere (ed anche i miei clienti) quasi settecentomila anni, probabilmente i server li cambierei qualche settimana prima...
Thanks

[ready]

Originariamente inviato da comas17
Password composta da 8 lettere minuscole/maiuscole e numeri

26 lettere minuscole
26 lettere maiuscole
10 numeri
--
62 caratteri

62^8 (62 all'ottava)
cioè = "218.340.105.584.896" in poche parole 218 bilioni combinazioni possibili.

da: http://www.spysystem.it/portal/index...=200&scope=all

Immaginiamo 10 tentativi al secondo per 24 ore = 864.000 tentativi
Tutti i giorni dell'anno = 315.360.000 tentativi

Numero di anni necessari per provarle tutte = 218.340.105.584.896 / 315.360.000 = 692.351 (circa)

.....

corretta affermazione! calcolo preciso

l'unica cosa che pero' non hai menzionato è il fatto che nel 99 % dei casi gli utenti usano password deboli o di dizionario...

con un attacco dizionario spesso si risolve in una maciata di ore e sei dentro, poi con un brute force fai di piu' di 10 tentativi al secondo, ma questo dipende molto dal computer in uso all'hacker, senza contare che se proprio vuole entrare entra lo stesso! esistono un infinità di tecniche per farlo.

l'ideale sarebbe sostituire le password almeno 2 volte al giorno (anche per questo motivo che le grandi aziende che tengono a i propri dati assumono un amministratore di rete) e monitorare continuamente le connessioni osservando anche tra le altre cose la ritondanza dei dati (onde evitare lo spoofing sniffing ecc), tenersi aggiornato sugli eventuali exploit del so e dei programmi che vi girano e/o utilizzare le key monouso.

con questo volevo solo dire che è bene, visto che hai notato questa cosa ( che tra l'altro e molto probabile che si tratti solo di un kiddiot visto come opera e le tracce che lascia ) rivolgerti alle autorità competenti (polizia postale) e lasciare fare a loro. anche perchè possono risalire LEGALMENTE all'autore del fattaccio.

[PaoloWeb]

Beh, la password non è "debole" ma non è neanche estremamente "casuale": a gruppi le lettere ed i numeri sono vicini tra loro (nella tastiera e quindi anche nell' alfabeto - non l' ho scelta io).
Cambiare la password sarebbe una soluzione e lo potrei fare, però nel primo post riportavo i miei dubbi su cosa potrebbe accadere (è la password di Administrator di un Windows server 2003):

La sostituzione della password comporta problemi? Il sistema utilizza frequentemente l' account per molte sue operazioni "automatiche" ma credo che ovviamente questo non costituisca un problema poichè il sistema "tiene" memorizzata la password dell' account. Ho, però, più di un database MySql creato con questo account, il cambio di password ne influenzerebbe il funzionamento? Insomma, il cambio password di Administrator comprometterebbe anche minimamente il funzionamento del server?

Questo mi sembra ora più importante determinare.
Grazie e (spero) a presto.
Paolo

[ready]

buongiorno

purtroppo non ho molta esperienza con MySql quindi non so bene come funzioni il suo sistema di account, pero' credo che gli account vengano creati a parte sulla macchina nel momento della creazione e che abbiano una loro vita separata da quella degli account di Win e che appartengano ad un gruppo proprio, ma come gia detto non ho molta esperienza su MySql (lo odio proprio !) quindi magari ti ho appena detto una emerita caz....

tra vedere e non vedere prova a dare un occhiata a i tuoi gruppi per vedere se magari c'è qualche riferimento a MySql e/o se esiste qualche user creato da lui.

mi spiace non poterti aiutare di piu', ma ognuno ha i suoi limiti , anzi se tu ne sai qualcosa in piu' ti sarei grato se magari mi fai sapere.

[PaoloWeb]

Studio approfonditamente (magari con l' aiuto dei miei tecnici in server farm) e poi posto quello che ho scoperto qui dentro.
Byez.
Paolo

[ready]

Originariamente inviato da PaoloWeb
Studio approfonditamente (magari con l' aiuto dei miei tecnici in server farm) e poi posto quello che ho scoperto qui dentro.
Byez.
Paolo

Grazie e buon lavoro




P.S. ho dato un occhiata al sito della tua agenzia e al tuo blog (per il momento giusto uno sguardo veloce, ma voglio approfondire ) e devo farti i miei complimenti perchè trovo di mio gradimento la grafica, anzi li trovo proprio belli! complimenti.

[PaoloWeb]

Grazie, gentilissimo. In realtà il sito dell' agenzia è una creazione tutta nostra (nel senso che sono stati utilizzati alcuni script open source per alcune applicazioni, ma la loro integrazione, personalizzazione e la grafica sono state implementate esclusivamente da noi), mentre il blog è scaricato da Wordpress con i suoi plugin ed il forum è un phpbb (ho utilizzato proprio questo nostro topic per effettuare il primo test di inserimento topic su quel forum, anche per testare un plugin di Wordpress che riporta gli ultimi topic di phpbb nel proprio menù. Naturalmente lo eliminerò quando il blog sarà terminato, essendo esso ancora in fase di costruzione).
Comunque grazie ancora per i complimenti. Appena so qualcosa in più su Administrator/MySQL ti faccio sapere. Ciao.
Paolo