アカウント名:
パスワード:
> Gumblarは感染したPCからFTPアカウント情報を盗み取ってこの勘違いがここまで感染を広めた理由の一つじゃないの? 感染したPCと同じセグメント上でFTP使ったらアウトだよ。
ソース2chだけど、放置状態だったウェブサイトを改竄された話がありました。FFFTPの設定(iniファイルかレジストリかは不明)からアカウントを窃取されたとか。
解析したわけじゃないけど、アカウント窃取の手段を複数持っていることは十分考えられます。設定情報読み取り、キーロガー、パケット監視、いずれも等しく注意する必要があるでしょう。SFTPでもパスワード認証ならWinSCP等クライアントの設定からアカウントを盗まれることがあり得ます。
「認証情報を窃取してよそから不正侵入」という点自体もC&Cだったら変え放題ですよね。例えばFTPクライアントのファイル読み取り動作をフックしてコンテンツ書き換えちゃうとか、感染PC内のボット自身がFTPサーバにアクセスするとか…
というか、大手企業のWebサーバでこんなに接続元制限していない所が多いなんて正直信じられない。
> というか、大手企業のWebサーバでこんなに接続元制限していない所が多いなんて正直信じられない。ほんの数年前に、どれだけ多くの役所や大企業でP2Pによる情報流出があった(今でもたまにある)と思ってるんですか? あのときすべての責任をP2Pに押し付けて、本当の問題から目をそらしたツケが回ってきただけですよ。
FFFTPのアカウント設定はレジストリに記録されている(=FFFTPのインストールパスに依存しない)ので比較的抜きやすいでしょうね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
※ただしPHPを除く -- あるAdmin
おいおい (スコア:1, 興味深い)
> Gumblarは感染したPCからFTPアカウント情報を盗み取って
この勘違いがここまで感染を広めた理由の一つじゃないの? 感染したPCと同じセグメント上でFTP使ったらアウトだよ。
Re:おいおい (スコア:3, 興味深い)
ソース2chだけど、放置状態だったウェブサイトを改竄された話がありました。
FFFTPの設定(iniファイルかレジストリかは不明)からアカウントを窃取されたとか。
解析したわけじゃないけど、アカウント窃取の手段を複数持っていることは十分考えられます。
設定情報読み取り、キーロガー、パケット監視、いずれも等しく注意する必要があるでしょう。
SFTPでもパスワード認証ならWinSCP等クライアントの設定からアカウントを盗まれることがあり得ます。
Re:おいおい (スコア:1)
「認証情報を窃取してよそから不正侵入」という点自体もC&Cだったら変え放題ですよね。
例えばFTPクライアントのファイル読み取り動作をフックしてコンテンツ書き換えちゃうとか、感染PC内のボット自身がFTPサーバにアクセスするとか…
というか、大手企業のWebサーバでこんなに接続元制限していない所が多いなんて正直信じられない。
Re: (スコア:0)
> というか、大手企業のWebサーバでこんなに接続元制限していない所が多いなんて正直信じられない。
ほんの数年前に、どれだけ多くの役所や大企業でP2Pによる情報流出があった(今でもたまにある)と思ってるんですか? あのときすべての責任をP2Pに押し付けて、本当の問題から目をそらしたツケが回ってきただけですよ。
Re: (スコア:0)
FFFTPのアカウント設定はレジストリに記録されている(=FFFTPのインストール
パスに依存しない)ので比較的抜きやすいでしょうね。