Tema destacado: ¡Aprende hacking con práctica! -  arZone, el wargame de elhacker.net
 Autor
|
Tema: Hackear FTP (Leído 9,667 veces)
|
uri1982
 Desconectado
Mensajes: 6
|
Buenas, Soy nuevo en este foro y aunque estoy interesado en el tema de la seguridad nunca he tenido tiempo para hecharle un vistazo. A raiz del problema que he sufrido en la empresa quiero ponerme la pilas ya... Hace unos días que nos hackearon el FTP e introducieron varios troyanos a nuestra web. La empresa que tenemos contratada para este servicio nos ha dicho que ha sido debido a una contraseña débil... La contraseña era "c4n4b75", según el programa http://www.passwordmeter.com/ esta contraseña era "buena". Aquí teneis las diferentes dudas para que sea más fácil la lectura. 1.- Es realmente débil o me estan tomando el pelo? 2.- Que es lo más habitual, fuerza bruta? Cuanto tiempo podría tardar en crackear esta contraseña? Minutos, horas, días... 3.- El servidor FTP no debería banear la IP después de muchos intentos fallidos? 4.- No existe un log con los intentos erróneos? 5.- Sabiendo la IP, la hora y el dia del ataque, voy a sacar algo contactando con el ISP (Chino) para demandar a esta persona? En fin, que estoy muy pez en este tema y les agradecería mucho que me resolvieran estas dudas. He encontrado mucha información de como hackear esto y aquello, en cambio he encontrado muy poca para prevenir estos ataques. Muchísimas gracias!!!! |
|
|
|
|
En línea
|
|
|
|
|
MonzterKuki.
|
Se decirte una cosa.. Usa proxy's y el servidor ftp,por lo que se no te denegara...  y la contraseña no es debil Una por ejemplo buena tambien seria Axe_67_Cxtl xD no creo que sepas nada con la hora y eso pero bueno.. y a la web troyanos?,no serian Shell's? porque no prubes a poner contraseñas mas variadas,numeros letras etc..para que el brute force no pueda crackearla tan rapido.. y se pueda llega r aevitar,luego tambien Prueba a no tener servidor ftp y au  |
|
|
|
|
En línea
|
Es Mejor Ser querido que temido.
|
|
|
uri1982
Desconectado
Mensajes: 6
|
Gracias por responder tan rápido! En la empresa usamos proxy, pero el servidor FTP hackeado no esta en nuestra red. Como me han dicho que era por culpa de una contraseña débil y a mi no me lo parecía tanto, he empezado a pensar de que podrían haber hecho mucho más. O sea, si ofreces el servicio de servidor FTP deberías controlar los LOGS y sobretodo cuando hay muchos intentos fallidos no??? Cuantas contraseñas utilizó para llegar a la buena? Muchísimas no? Segun ellos he sido infectado por troyanos, o sea, nos crackearon el FTP y luego tan solo modificaron la web metiéndole troyanos (almenos se que 2 PC's han sido infectados). Ya me gustaría deshacerme del servidor FTP, pero es crucial para la empresa, lo que si que podría hacer es separar el servidor FTP de la web!! Si me lo vuelven a hackear que solo me afecte una cosa. Ahora mismo ya tenemos puesta otra contraseña que según la web que he mencionado antes es "muy fuerte". Pero repito, independientemente de si la contraseña era solo "buena", esto se podría haber evitado con una simple monitorización del FTP? Si me dices que la contraseña que había antes las puedes crackear en unos minutos, pues evidentemente no vas a tener una persona ahí controlando las 24h, pero el problema ha sido que lo descubrimos nosotros después de 2 semanas de realizase el ataque al FTP. O sea si fuera por ellos aún seguiriamos infectados y con el FTP hackeado... Entonces, esta empresa, en cuanto a seguridad son unos chapuzas? Porqué a mi me parece que si, pero como no entiendo mucho sobre seguridad... por eso preguntaba en el foro, para despejar dudas y obtener mi propia conclusión para que no tengais que dármelo todo masticado, pero vamos estoy abierto a cualquier opinión sobre ésta empresa  |
|
|
|
|
En línea
|
|
|
|
|
el-brujo
|
1) La contraseña era normal, ni muy mala, ni muy buena, pero más que decente
2) No creo que haya sido por fuerza bruta, pero todo depende si han usado un buen diccionario de palabras o han tenido mucha suerte (cosa que dudo)
3) Si.
4) Si, claro.
5) No.
A mi me parece más que la contraseña se sacó de otra manera, por un troyano, keyloger o similar en algún ordenador infectado.
|
|
|
|
|
En línea
|
"elhacker.net es único, por eso no fabrica para otras marcas" - Prohibido prohibir  |
|
|
|
MonzterKuki.
|
1) La contraseña era normal, ni muy mala, ni muy buena, pero más que decente
2) No creo que haya sido por fuerza bruta, pero todo depende si han usado un buen diccionario de palabras o han tenido mucha suerte (cosa que dudo)
3) Si.
4) Si, claro.
5) No.
A mi me parece más que la contraseña se sacó de otra manera, por un troyano, keyloger o similar en algún ordenador infectado.
Brujo como creo que ya dije podria haverlo echo por fuerza bruta.. usando la CPu no se crackean muchas passes,pero si tienes una grafica realmente buena.. Como la GT9600 o superior(de nvidia) crackeando desde la GPU,busca por minuto 15millones de contraseñas,asique si puedo hacerlo por fuerza bruta,aunque si,si pudo ser como digo el-brujo,mediante un remote controlo,como keylogger,troyanos o cosas asi,y haber infectando a algun posesor de la contraseña.. Bueno,lo mejor sera cambiar el ftp,la contraseña y si puede ser poner HTTPS en el ftp por mas seguridad. Adios:)
|
|
|
|
|
En línea
|
Es Mejor Ser querido que temido.
|
|
|
Jaixon Jax
Desconectado
Mensajes: 855
|
Con una Botnet a Fuerza Bruta me parece y como son tantas IPs |
|
|
|
|
En línea
|
Tricalogo del buen forista:
1.- No postear en hilos de Politica, ni religion, ni feminismo ni Machismo .....
2.- Nunca solicitar ayuda por MP a alguien del staf .... ellos nunca responden ....
3.- Aplaudir todos los "aportes" del staf aunque no los entiendas, o creas que no tienen importancia eso es buena onda ....
|
|
|
Novlucker
Ninja y
Ex-Staff
Desconectado
Mensajes: 10.239
Yo que tu lo pienso dos veces
|
No es que fuera una contraseña realmente fuerte, pero tampoco hablamos de una contraseña débil. Por fuerza bruta, partiendo de un diccionario como el siguiente: abcdefghijklmnopqrstuvwxyz1234567890 (36 caracteres), y sabiendo que la contraseña tiene 7 caracteres tenemos que; a****** ......... 36 ^ 6 = 2176.782.336 b****** ......... 36 ^ 6 = 2176.782.336 c4n4b75 ......... 30 x14 x 30 x 2 x 33 x 31 = 25.779.600 ------------------------------------------------------------------------- Total = 4379.344.272 Más allá del tiempo que puede llevar eso desde remoto, yo creo que ese número de intentos fallidos deberían de hacer ruido no?  (si tomamos como referencia 15 millones/minuto, son 5 hrs)Esto es solo un ejemplo, los números varian dependiendo del diccionario y el orden de los caracteres, pero me la juego a que alguno de ustedes se infecto con algún troyano o keylogger, y de este modo sus contraseñas quedaron al descubierto. Yo comenzaría a revisar por ahí, un sistema puede ser muy seguro, pero si por ejemplo el administrador (el único con permisos) le conecta un pendrive con malware  A futuro, te recomiendo que la contraseña tenga un mínimo de 8 caracteres, con minúsculas, mayúsculas, números y a ser posible símbolos  Saludos |
|
|
|
« Última modificación: 1 Diciembre 2009, 19:00 por Novlucker »
|
En línea
|
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
http://twitter.com/novlucker
"Hay dos cosas infinitas: el Universo y la estupidez humana. Y de la primera no estoy muy seguro." Albert Einstein |
|
|
Azielito
no es
CoAdmin
Desconectado
Mensajes: 9.114
>.<
|
mira los logs del ftp, que server usas? el Filezilla, por ejemplo, los guarda todos esos, y es personalisable hasta donde me acuerdo ¬¬ hace tiempo que no uso uno "bien" pero seguro que el tuyo tambien guarda [...]
|
|
|
|
|
En línea
|
|
|
|
uri1982
Desconectado
Mensajes: 6
|
De verdad muchas gracias por todas vuestras respuestas, ahora lo tengo más claro. En este momento no puedo responder pero nada más llegar a casa me pongo con el tema y sacaré conclusiones  |
|
|
|
|
En línea
|
|
|
|
|
MonzterKuki.
|
Deacuerdo |
|
|
|
|
En línea
|
Es Mejor Ser querido que temido.
|
|
|
|
kamsky
|
Perdón he estado ocupado hoy y no he visto este tema hasta ahora, así que poco más que decir hay...
Estoy de acuerdo con las respuestas de el-brujo, el tema de saber la IP y tal... bueno, el problema está en que aun suponiendo que esa sea su IP verdadera, si su ISP es de china,olvidate...
Una última cosa, la contraseña no es nada del otro mundo pero tampoco es tan débil como para que te la hayan roto en poco tiempo con fuerza bruta (fuerza bruta real, no ayudado en diccionarios, ya que no creo que muchos diccs' tengan esa pass...), así que habla con los responsables del FTP y que no te cuenten milongas
|
|
|
|
|
En línea
|
----NO HAY ARMA MÁS MORTÍFERA QUE UNA PALABRA BROTADA DE UN CORAZÓN NOBLE, Y UN PAR DE HUEVOS QUE LA RESPALDEN---
hack 4 free!!
|
|
|
uri1982
Desconectado
Mensajes: 6
|
Bueno... del curro a clase y de clase a casa, al fin! xD Me he leído varias veces vuestros comentarios, y el tema está en el punto al que quería llegar...
Si la empresa que tiene el FTP me dice que lo han hackeado debido a una contraseña débil, sobreentiendo que han utilizado un programa que vaya testeando contraseñas hasta encontrar la correcta no? De ser así, tal y como dice Novlucker, esto debería haber hecho algo de ruido y aunque no puedas evitar el ataque almenos lo puedes detectar en un plazo de tiempo relativamente corto y no dejar pasar semanas y más semanas.
Si por el contrario han utilizado un troyano o un keylogger, el atacante simplemente introdujo la contraseña correcta y no debería haber activado ninguna "alarma". O sea, que el problema lo tenemos nosotros y la empresa me ha dicho que la contraseña era débil porqué es la respuesta fácil...
Esta segunda opción es la que más peso tenía al principio, pero al decirme ellos que era culpa de la contraseña me hicieron dudar. Ahora bien si analizo como nos conectamos al FTP, un troyano o un keylogger creo y corregidme si no es así, que no conseguirían nada, porque las conexiones al FTP siempre se hacen mediante un programa que tiene incorporada esa contraseña, o sea, los usuarios NUNCA introducen la contraseña manualmente, ni siquiera la saben como tampoco saben la dirección del FTP ni las carpetas por donde entran/salen los archivos. Por lo tanto debería descartar esta opción o pensar que han conseguido descifrar el programa o han conseguido ver las fuentes del programa (es una aplicación propia, programada con delphi) la cual cosa creo que es bastante complicada. Pero aun hay otra posibilidad... Al servidor FTP tiene acceso otra empresa que es la que ha diseñado la web, el troyano o keylogger lo podrían tener ellos...
Finalmente una opción de la cual nadie ha hablado y supongo que debe ser porqué es poco probable, sería que capturen la contraseña cuando sale del ordenador, tal vez por eso ha dicho ɟoǝ-Ʀ00Ƭ de utilizar HTTPS para cifrar la contraseña, pero dudo que la empresa quiera cambiar la forma de trabajar, pero se puede preguntar.
En fin, que para acabar de completar el "informe" pediré el nombre del programa FTP, la versión (a ver si es antigua y tiene muchos agujeros de seguridad) y el sistema operativo del servidor y por supuesto el LOG. Mañana mismo pongo a escannear todos los ordenadores con el antivirus, también hablaré con la empresa que se encarga de la página web y con la empresa del FTP y como dice kamsky que no me cuenten milongas... que han sufrido un fallo de seguridad y parece que no les importa.
Como medidas preventivas hemos cambiado la contraseña por una que tiene 8 dígitos, con números, símbolos, mayúsculas y minúsculas, y voy a pedirle a mi jefe de separar la web del FTP y hacer los cambios de la web de otra manera que no sea el FTP o simplemente habilitando/deshabilitando el usuario cuando sea necesario.
Bueno, lo único que puedo decir es que muchísimas gracias por emplear vuestro tiempo en ayudarme a resolver las dudas tan rápido y felicitaros por la comunidad que habéis creado. A ver si consigo sacar tiempo de algun sitio y puedo conectarme más por aquí y unirme a esta comunidad!
Gracias!
|
|
|
|
|
En línea
|
|
|
|
Azielito
no es
CoAdmin
Desconectado
Mensajes: 9.114
>.<
|
se puede "descompilar" tu programa en delphi y ahí vez la contraseña si no esta cifrada y tal, igual se puede ver [mira el foro de ing inversa] La empresa que te hizo ese programa puede ser que a ellos les sacaron el password ¬¬ Lo que comentas de que pueden ver el password una vez que sale del programa es cierto, con un sniffer, pero ese es desde tu empresa ¬¬ o sea, alguien que anda por ahí jugando con el Cain&Abel o Ethereal/wireshark
suerte!  |
|
|
|
|
En línea
|
|
|
|
uri1982
Desconectado
Mensajes: 6
|
se puede "descompilar" tu programa en delphi y ahí vez la contraseña si no esta cifrada y tal, igual se puede ver [mira el foro de ing inversa] Gracias, lo miraré! La empresa que te hizo ese programa puede ser que a ellos les sacaron el password ¬¬
Cuando he dicho que el programa era propio me referia a que lo hemos programado nosotros, no es de ninguna otra empresa. Lo que comentas de que pueden ver el password una vez que sale del programa es cierto, con un sniffer, pero ese es desde tu empresa ¬¬ o sea, alguien que anda por ahí jugando con el Cain&Abel o Ethereal/wireshark
Eso... el sniffer (antes no me salía el nombre) me lo dijo un profesor, pero él se refería al salir a internet, no a mi red local (me he expresado mal), o sea esnifar los paquetes cuando circulan por internet, de hecho fue la primera explicación que me dió y yo la verdad la encontré muy exagerada. En cuanto a las sospechas que sea alguien de dentro, te puedo asegurar que ninguna persona posee suficientes conocimientos como para hacer todo esto. suerte! Gracias, la voy a necesitar Mañana me espera un buen día...
|
|
|
|
|
En línea
|
|
|
|
|
nacho87
|
Hola! según he visto parece que teneis la web y el ftp en el mismo servidor no? No os habeis planteado que os hayan entrado a través de la web? Es más facil encontrar errores que den acceso al servidor en la web que en el ftp, creo yo. Una vez dentro del servidor con poner tcpdump a la escucha se conseguiría el password en la siguiente conexión del ftp.
Sinceramente me parece muy poco probable sacar ese pass por fuerza bruta, ni con cpu ni con gpu ya que el "crackeo" lo haces remotamente y donde se pierde el tiempo es en la conexión, no en calcular el hash del password como cuando crackeas un md5 o sha...
Un saludo!
|
|
|
|
|
En línea
|
|
|
|
|
 |
