rodrigocontrib
(usa Debian)
Enviado em 07/08/2014 - 11:27h
Prezados,
venho aqui reportar uma problema que tive, tenho um ambiente virtual no qual abri para web no entanto por duas vezes a sua senha foi alterada.
Resolvi investigar o problema e encontrei uma entrada no sistema para o ip : 188.212.195.22 no horario da alteração,
fiz uma busca e descobri que ele esta localizado na romenia.Bom, acredito que o "hacker"(não tenho como afirmar) foi grey-hat penso que a alteração
de senha do servidor serviu como um alerta de segurança para mim.Que não inseri o ambiente com regras ou restrições para ips utilizando a porta 22.
Visto que viso o acesso a meus servidores de locais/ambientes publicos.
Porém o que acho mais estranho é que isso ocorreu, apenas depois de meu cadastro no ddns (ddns.winco.com.br) e ao acaso, cadastrei a mesma senha no ddns
em meu servidor virtual.Bom, não quero dar alertas desnecessarios e não estou julgando o ddns de violação a direitos, porém só reporto a coecidencia do que não devemos fazer.
Quero apenas avisar a todos que até uma simples vm está sob vigilancia dos hackers na web e os mesmos podem utilizar a sua vm como bot para derrubar sites ou realizar crimes
ciberneticos locais utilizando o ser servidor virtual como proxy.
Quero ressaltar um detalhe, a simples alteração de senha pode não ser uma solução plausivel, visto que bancos de dados vulneraveis podem prover senhas e cruzamentos de dados partindo de nosso ip.
Exemplo:
Ou seja o ip "192.168.0.1" conectou-se com o site meusite.com{ambiente vulneravel} e utilizou o login : bob e senha : bazz.
De posse ao acesso no ambiente vulneravel, o "hacker" pode fazer uma consulta e ler os dados,executando o step: teste na porta 22/tcp "ssh" para o ip "192.168.0.1" com os logins bob,root,admin,administrator e a senha bazz.
um micro brutforce com dados privilegiados
Atenciosamente Rodrigo,
PS: Agora com Regras [:)]
Post Replicado