 |
|||||
|
|
|
|||
|
|
 |
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|||
|
|
 |
|
|
|
|
|
|
|||
|
|||||
|
|||||
|
|||||
|
|
|
|||
|
|
|
|
||
|
|
|
|||
|
|||||
Depuis le début de cette année, un forte recrudescence d'activité a été observée au niveau des scans FTP :
- Ce port (port 21) est aujourd'hui le second (après le port 80 dédié aux serveurs web) dans le classement des ports les plus accédés.
- Beaucoup de plaintes relatives à des tentatives d'accès illégales à des sites FTP nous sont transmises. Dans la plupart des cas, les traces d'accès font penser qu'il s'agit d'outils automatiques de recherche de sites FTP mal configurés, dans lesquels le dépôt de fichier est autorisé pour tous.
- Des tentatives d'attaques en masse de serveurs FTP (cf. l'information intéressante CERT-IST/IF-2002.002 ) ont aussi eu lieu en février.
Au niveau de la communauté des CERT, beaucoup d'échanges mentionnent également qu'un nombre croissant de machines compromises sont visiblement utilisées pour monter des sites "Warez" (sites, installés en général au sein de serveurs Web ou FTP mal configurés, utilisés par les pirates pour échanger des données illégales : copies de jeux, de musiques, etc…).
Une des motivations probable des pirates aujourd'hui est l'échange de films pirates. Ce type d'échange semble en effet de plus en plus courant, et devient un phénomène comparable à ce qu'était "l'échange" de fichiers musicaux MP3 il y a quelques années. Dans le cas des films, le volume de stockage nécessaire (de l'ordre de 600 Mo pour un film au format DivX) rend la "chasse" aux espaces disques de plus en plus acharnée. Il est donc fortement probable que la recrudescence de l'attaque de serveurs FTP soit le résultat de cette quête…
En terme de cible, les machines les plus visées sont les serveurs FTP vulnérables, ou ceux proposant un accès anonyme. Plus largement toute machine attaquable ayant de l'espace disque et de la bande passante est une proie recherchée. Comme mentionné dans l'article sur KaZaA de ce bulletin, les attaques internes aux communautés d'échanges sont également monnaie courante.
Vis-à-vis des serveurs FTP, nos recommandations sont de :
- Patcher les serveurs FTP.
- Apporter un soin tout particulier à la configuration des serveurs FTP anonymes.
- N'autoriser le dépôt que si cela est strictement nécessaire. L'interdire sur les serveurs FTP anonymes.