V posledních týdnech přibývá nového typu útoků na webové servery. Varují před ním odborníci z bezpečnostního projektu Turris, který provozuje CZ.NIC. Přibývající útoky jsou pozorovány díky bezpečnostním sondám umístěným v routerech Turris. Na nich je možné si aktivovat honeypot, který emuluje některé běžně používané služby. Všechny zaznamenávají, kromě jiného, jména a hesla, která používá útočník při pokusech o přihlášení. Lze tak identifikovat IP adresy útočníků a nejčastěji používaná jména a hesla,
vysvětluje Petr Břehovský.
V současnosti je možné pozorovat nový útok mířící na FTP servery, které se vyskytují na stejné IP adrese, jako aktivní webový server. Pozorujeme slovníkové útoky na FTP server, kdy jsou hesla odvozena z doménového jména WEB serveru.
Tedy například www.konkretnidomena.cz2000, 88konkretnidomena nebo 6www.konkretnidomena.cz. Jako uživatelské jméno útočníci používají doménu. Kompletní přehled je zveřejněn v PDF.
Útočník předpokládá, že FTP server slouží k aktualizaci stránek webového serveru. Zkrátka, že pokud správce webu nahraje do struktury FTP serveru aplikační soubory webu, projeví se to okamžitě na stránkách serveru, protože adresáře FTP serveru odpovídají struktuře adresářů web serveru.
S velkou pravděpodobností jde o útok malware typu PhotoMiner, který modifikuje stránky a instaluje vlastní JavaScripty. Ty jsou následně vykonány v prohlížečích uživatelů přistupujících na napadený web a mohou být použity například k těžení kryptoměn.
ČLÁNKY DO MAILU