2009년 07월 01일
FTP 계정 노출된 것 없는지 검사해보시죠


유럽 유명 보안업체인 Prevx 에서
최근 사고조사중에 중국의 한 서버에서 8만건이 넘는 ftp id/pw 를 찾아냈다고 합니다.


Prevx 경쟁업체인 시만텍, 맥아피는 물론이고 Cisco, Bank of America 계정도 포함되어있다고 하는데요
대부분 zbot 에 감염되서 내부에 있는 ftp 서버 계정정보가 탈취된 것이라고 합니다.

요즘 사고분석해보면 꼭 로컬 도청을 하지 않고도
유명 FTP Client 프로그램의 주소록만 신속하게(?) 뒤져서 가져가는 애들도 있더군요.
AlFTP 주소록 위치도 귀신같이 한번에 접근해서 바로 집어가더군요.

여튼,
prevx 사이트에 가면 노출된 정보를 조회해볼 수 있습니다.

http://www.prevx.com/ftplogons.asp

 


다행이 국내 정부기관이나 일부 대기업은 노출된게 없는 걸로 나오네요.

go.kr 처럼 일부 도메인으로도 검색이 가능합니다.

co.kr 은 몇건인지는 모르겠습니다만 있습니다.

 

자사 ftp 서버 계정이 노출됐는지 여부를 확인해보세요~




※ 관련 글
SANS News Bites

:

--Stolen FTP Login Information Found on Server
(June 26 & 29, 2009)
Researchers have discovered a server hosted in China that contains more
than 68,000 FTP passwords, including a number for well-known sites such
as the BBC, Cisco, Amazon and Bank of America.  Some of the login
information appears to have been stolen within the last two weeks, which
suggests that the data are still valid.  Possession of this information
could allow attackers to upload malware to the vulnerable sites.  The
stolen information is being uploaded to the server by the zbot Trojan
Horse program.
http://www.theregister.co.uk/2009/06/26/ftp_malware_hack/
http://www.eweek.com/c/a/Security/Trojan-Swipes-FTP-Credentials-for-Major-Companies-in-Malware-Attack-340752/

:


급히 쓰려니 영 꽝이네요 ㅡ.,ㅡa 그냥 편하게.. ㅎㅎ~

by ww0jeff | 2009/07/01 11:23 | 트랙백 | 덧글(2)
트랙백 주소 : http://ww0jeff.egloos.com/tb/4178284
☞ 내 이글루에 이 글과 관련된 글 쓰기 (트랙백 보내기) [도움말]
Commented by 페르시안 at 2009/07/02 10:06
음... 좋은 정보 잘 보고갑니다..^^*
Commented by ww0jeff at 2009/07/02 14:37
감사합니다. ^^a

.mil 계정도 몇건 나오네요. 국내 군(mil.kr)은 없고,
재밌게도 북한 도메인(.kp) 계정이 있다고 나오네요.

심심풀이로 검색해보니 재미있습니다.

:         :

:

비공개 덧글



<< 이전 페이지 | 다음 페이지 >>