FTP server e trojan attack...sono disperato

vbimport

#1

Ciao a tutti,

ho un server FTP al quale si collegano mediamento 30 utenti. Ovviamente è up tutti i giorni 24 ore su 24 con aperta la porta FTP 21 dove avvengono i vari download e upload. Le altre uniche porte aperte sono la porta HTTP e la porta per lo scarico della posta tramite Outlook. Come firewall uso ZoneAlarm 3.0.118 Pro (ultima release) e antivirus NOD32 della ESET sempre ultima versione con scansione di TUTTI i file in tempo reale. Il sistema operativo è XP in inglese PRO version.
Ebbene:
è da tre giorni che qualcuno riesce comunque a introdursi nel PC (credo con un trojan) mandando in esecuzione un file eseguibile che tiene impegnata la CPU dal 40 all'80%. I file che ho trovato non sono molto grandi circa 20-30 KB ognuno.In tre giorni tre file diversi.Io elimino il task e riavvio.Faccio una scansione con l'antivirus e con Trojan Remover (ultime versioni) e non viene rilevato nulla e la situazione torna alla normalità . Ieri sera la grande sorpresa: MI HANNO ELIMINATO IL FILE USER.INI DI BULLETPROOF CHE CONTIENE TUTTI USER E PASS PER L'ACCESSO AL SERVER :frowning: :frowning: :frowning:
Ora: qualcuno sa dirmi da quale porta questo sconosciuto fa passare il trojan? (ho provato a chiudere la HTTP e la POP3) se è dalla porta 21 FTP come faccio a non far passare il trojan e a far passare invece i dati in download e upload? perchè l'antivirus non intercetta il trojan quando viene uplodato dentro al server? C'è un sistema sicuro per scannare dal proprio PC le porte a rischio di intrusione come se fosse un attacco esterno?

Grazie a chiunque mi saprà dare una mano

Princefall[COLOR=orangered]


#2

che qualcuno si diverta a bucare ftp privati e’ veramente triste,
vuol dire che siamo proprio alla frutta
sicuramente qualcuno meglio di me ti sapra’ aiutare posso solo dirti che come firewall il migliore a dire delle info ricavate da siti attendibili e’ conseal firewall, purtroppo e’ complicato da configure.
auguri

http://www.consealfirewall.com/

ciao
:confused:


#3

Ciao, purtroppo io credo che qualche disgraziato ti faccia passare un trojan propio sulla porta 21 del tuo FTP, ce ne sono alcuni che usano propio quella porta qui c’e una lista delle porte usate dai trojan più famosi, se guardi c’e un certo “Traitor 2.1” che usa propio la porta 21.
Io credo che lo scazzacazzi sia uno dei tuoi USER,visto che mi sembra di aver capito che il tuo ftp non sia anonimo,
probabilmente il cazzone sta sfruttando qualche bug o qualche tuo errore di configurazione ad esempio sulle ACL (in teoria settando adeguatamente le ACL nessuno, tranne te dovrebbe potere eseguire qualche file, modicare attributi ecc…, quindi nessuno dovrebbe riuscire a far girare qualche Trojan nel tuo PC ammeno che non sia tu a lanciarlo innavertitamente).
Mi permetto di darti alcuni consigli,sperando che ti possano servire.

  1. installa l’ultima versione o le patch disponibli per BULLETPROOF.
    2)controlla le ACL del tuo FTP in modo che i tuoi USER possano solo fare il stretto necessario, ad esempio leva le ACL per la modifica degli attributi, di esecuzione dei file ecc…, e dai i pieni attributi solo a te come amministratore, però devi vedere tu cosa mettere o no !!,
  2. Se usi Win2000, wnt, o winxp installa tutte le patch di sicurezza (ce ne sono uno sterminio!!!) e poi installa il nuovo ottimo tool MBSA che annalizza il tuo sistema e ti dice dove ci sono problemi di sicurezza e come fare per risolverli.
  3. secondo me dovresti buttare zonealarm che va bene piu per chi naviga e non per chi da servizi sul propio pc, usa BlackICE Defender secondo me va meglio per quello che devi fare tu.

Ti auguro buona fortuna, so cosa vuol dire quando qualche cazzone senza motivo c’è l’ha su con te e ti rompe le palle


#4

Grazie della risposta.
Avevo già installato tutte le protezioni da te citate. Per bullet proof ho la versione 2.15 ultima e non ha avuto aggiornamenti da quando è uscita.
Solo una cosa: cosa intendi per ACL?

Ho appena scaricato il software Microsoft da te consigliato. Poi ti dirò.
Per la scelta del firewall rimango a ZoneAlarm anche per il fatto che ho sempre usato quello e lo conosco bene.Non che non mi fidi di quello che hai detto ma sai, imparare a sfruttare bene un software firewall non è uno scherzo.

Princefall


#5

ACL= Access control list , e l’elenco dei permessi a file o directory.
Esempio su winnt o win2000 o winxp con filesystem NTFS:

hai la directory e i file in essa contenuti in c:\marcoftp e vuoi che lo user “Marco” possa entrare da remoto tramite ftp e poter fare sia download che upload.
le ACL (semplificate) corrette per la dir e i file in c:\marcoftp saranno:

ACL per user “marco”

controllo completo: NO
modifica:NO
scrittura: SI
lettura: SI
lettura ed esecuzione: NO
Autorizzazioni speciali: NO

ACL per l’amministratore dell’FTP marcoftp (tu):

controllo completo: SI
modifica:SI
scrittura: SI
lettura: SI
lettura ed esecuzione: SI
Autorizzazioni speciali: SI

nessuna ACL per everyone e altri utenti, metti solo ACL per nomeutente e amministratore dell’FTP

ovviamente queste sono semplificate, ci sono altre ACL piu dettatagliate,le quali si possono valdare o negare (ricorda le negazioni hanno la priorità rispetto li validazioni)
tipo non dare mai agli utenti la facoltà di cambiare attributi ai file, di scriverli , di poter diventare propietario, poi dipende cosa devono fare i tuoi utenti, ad esempio se devono solo fare l’upload nega a loro le ACL in scrittura dei file

e vero per il firewall, non è facile impostarlo bene, ma essere conservatori e non cambiare firewall perchè si conosce solo quello o si ha paura di cambiare, o non si ha voglia e basta, non serve a nulla, bisogna essere riformisti e provare qualcosa di nuovo.
Se vuoi vedere se realmente hai chiuso le porte che volevi fa un po di test su:

grc
sygate
dslreport


#6

OK ora i è chiaro.

Grazie

princefall


#7

Condivido quanto detto da Hybanez.
Solamente che a BlackIce preferirei AtGuard (più efficace e semplice da configurare, secondo me è il più completo per i Winzozz).
Un’altra: se nel tuo ftp accedono solo utenti registrati, perchè non attivare auditing di tutto ciò che fanno gli utenti?


#8

L’auditing è attivato ma non ho trovato proprio niente riguardo upload di file sospetti.
Ieri sera per fortuna non è successo niente…a parte il solito TESTA DI CXXXO che ha tentato dalle 3.34 di stanotte fino alle 7.23 (ZoneAlarm ha bloccato tutto) di far passare attraverso la porta 6667 un file eseguibile (atdfg.exe??? non so che sia, probabilmente un trojan rinominato a caso)

Princefall:mad: :mad:

Ho anche il suo IP e so anche di dov’è: è americano del Minnesota. :mad: :mad:

Consigli?

Princefall


#9

Ormai è sicuro: il trojan passa sicuramente dalla porta 21 che deve essere aperta per forza per poter consentire i vari download upload. Ora: se devo lasciare aperta questa porta come posso fermare il trojan mentre entra? Ho l’antivirus aggiornatissimo con protezione in tempo reale come può non beccarlo? In più facendo girare Trojan Remover non trova niente…sigh sigh sigh aiuto per favore.

:frowning: :frowning: :frowning: :frowning:

Princefall


#10

guarda che se per tracciare da dove parte usi programmi tipo neowatch non prendere per vero quello che dice perchè l’ho testato anch’io e tutte le volte o partiva dal minnesota o dalla città del vatticano o perugia e poi ho scoperto che era uno stronzo di operatore netsystem che controllava quello che scaricavo


#11

OK anche ponendo il caso che non mi interessi chi è e di dov’è, come faccio per proteggermi in modo ancora più sicuro di come sono ora?

Princefall


#12

Un saggio diceva che per essere sicuri al 100% bisognava spegnere il computer, scollegare tutte le spine, staccare il modem, chiudere il computer in uno scatolone a doppio giro di scotch e tenerlo nel baule della tua auto parcheggiata lontano da casa tua.
Il miglior modo perche’ nessuno entri nel tuo computer :cool:


#13

A parte scherzi; sapresti darmi un valido consiglio?

Grazie 1000

Princefall


#14

ma scusa … fino adesso il tuo antivirus+trojan remover ha rilevato qualcosa ? quei famosi file da 20 30 kb cadauno di cui killi le task come si chiamano ? ai guardato le dipendenze di questi file con altri, alcuni rompipalle sono mooolto bravi a cammuffare i trojan leggi qua .
a proposito hai notato dai log del tuo firewall qualche comportamento strano, tipo porte aperte, attacchi a porte specifiche, guarda i log e probabilmente troverai la causa.


#15

Occhio che c’è una nuova generazione di virus trojan che sta girando da matti in rete, oltre ad infettare, creano falsi file (rilevabili), ma la fregatura è che lavorano in memoria e disabilitano gli antivirus più recenti.
Da noi in azienda è arrivato un WM… non ricordo completamente il nome, allegato alla posta… ebbene, c’è una schiera di tecnici che da due settimane, stanno rincorrendo sulla rete sto benedetto virus (è arrivato dal commerciale fino alle linee di produzione), il bello che si presentano da me dicendo che finalmente è tutto a posto, io accendo il portatile e mi collego in rete col mio antivirus, e zak sono nuovamente li, in pratica ha disabilitato tutti gli antivirus delle macchine (dal norton al mcafee, etc.) si insedia in memoria, attacca le porte dei pc passando da rete ,trova nonostante i firewall il modo di entrare e si ripropaga sugli altri computer, in pratica tu cancelli, lui si alloca in chissà quale buco della memoria e passata la scansione si rigenera, infetta immediatamente l’antivirus e si trasmette in rete…
Come se non bastasse, parlando con degli amici, mi è stato riferito che anche da loro era arrivato (ma non hanno niente a che fare con l’azienda in cui lavoro), il che mi fa credere che si stia propagando a macchia d’olio in rete.
Quindi ricollegandomi al tuo discorso, occhio che non sia un virus che ti sta creando questi problemi
Byez ELektro


#16

Grazie della dritta
Comunque ora ho gli occhi più che aperti

Princefall