Gepubliceerd: Zaterdag 20 februari 2010
Naast Yourhosting melden verschillende Nederlandse hosters een hackoffensief van ftp-accounts. Het probleem ligt bij de klanten die hun computers niet virusvrij houden.
Toon volledig artikel
Wachtwoord resetten zinloos
Willems vraagt zich of het resetten van ftp-wachtwoorden veel zin heeft. "Als de thuispc's van hostingklanten besmet zijn, dan is het een kwestie van tijd voordat de ftp-wachtwoorden weer gestolen zijn."
Ze kunnen iedere klant een Knoppix cd'tje toesturen die ze gebruiken wanneer de klant zijn/haar website wil bijwerken. Of schrijf ik nu iets geks?
Nickname schreef op Zaterdag 20 Februari 2010 17:22
dd, een Ubuntu installatie cd is veel beter :)
Wat is - afgezien van wat uiterlijkheden - eigenlijk het echt belangrijke verschil tussen Knoppix en Ubuntu ? Toen ik de laatste keer keek waren het allebei nog steeds(overgens hele goede) Debian-derivaten, toch ? ;-)
Ik vind wel dat ISP's en hostingproviders wat hun service moeten uitbreiden met info over veiliger besturingssystemen en directe downloadlinks hiervoor.
Een livecd/usb stick met de uploadsoftware erbij is natuurlijk ook mooi. Misschien moet je van meermalen gehackte accounts op den duur ook wel verwachten dat ze alleen maar via een 'veilige' computer uploaden.
Als je echt wat tegen cyberciminaliteit wilt doen, promoot je veilige OS-en.
Als je echt wat tegen cyberciminaliteit wilt doen, promoot je veilige OS-en.
Beetje lastig voor een Microsoft Gold Partner!
Het probleem ligt bij de klanten die hun computers niet virusvrij houden.
Valt nog te bezien. Volgens mij is die verantwoordelijkheid op zijn minst gedeeld met de OS-fabrikant! ;-) Naam noemen is duidelijk overbodig ;-)
Volgens mij is die verantwoordelijkheid op zijn minst gedeeld met de OS-fabrikant!
Je krijgt van mij het eerste plusje, (na vijf minnetjes, minnetjes interesseren mij geen bal), omdat je hier een goed punt hebt.
Het klopt helemaal.
1. ftp is een onveilig en archaïsch protocol voor bestandsoverdracht, van voor de security issues uit het Internet tijdperk;
2. Er is maar één platform waarvan overduidelijk is dat een meerderheid van de installaties is besmet (een meerderheid van de gebruikers is in dit geval te goeder trouw en niet op de hoogte van de besmetting).
3. Waarom is het toch de schuld van Microsoft? Microsoft heeft zich laten leiden door marketing overwegingen met betrekken tot het inrichten van allerlei features, waarvan later blijkt dat die features levensgevaarlijke security issues opleveren.
Gebruikers van Microsoft Windows zijn bijna veroordeeld tot het gebruik van het onveilige ftp voor bestandsoverdracht en Microsoft doet helemaal niets om de gebruikers te helpen om vanuit de voor de gebruiker bekende omgeving. Ja, hij kan voor veel geld een onzin pakketje kopen dat voor de helft doet wat ie nodig heeft.
Het is de harde werkelijkheid en helemaal niets anders.
Onzin. Men kan de gebruikers ook instrueren met een handleiding om WINSCP te gebruiken op Windows. De hostingbedrijf kan ook gewoon dus overschakelen op SSH en dus FTP compleet uitschakelen.
Onzin. Men kan de gebruikers ook instrueren met een handleiding om WINSCP te gebruiken op Windows.
Onzin? Het is de kern van het probleem.
De Windows gebruiker is een pure gebruiker. Die gebruiker lijdt onder:
- telkens veranderende grafische hulpmiddelen om dezelfde dingen te doen;
- een hopeloos security model, waardoor hij eigenlijk niets durft te doen;
- een OS dat fundamenteel niet is ingericht op naleven van standaarden, daarom is zoiets triviaals als bestandsoverdracht met Windows voor de gewone gebruiker zo moeilijk.
De isp kiest tegen deze achtergrond voor de makkelijke weg, hij is geen wereldverbeteraaar maar een isp provider en hij wil een beetje geld verdienen.
Het lukt ook bijna niet om de gebruiker uit te leggen iets als winscp te gebruiken, als ze al willen luisteren dan snappen ze het niet. Ze haken gewoon af en gaan zoals in mijn geval ergens anders heen, dat is jammer maar ik hoef er niet van te leven.
Het personeel heeft vaak ook alleen maar Windows tot haar beschikking, en er is nauwelijks nagedacht over het toestaan van het gebruik van ftp door met name Windows gebruikers.
De isp heeft daarmee twee fouten gemaakt: een onveilig protocol met een onveilig platform.
We betalen nu met z'n allen de rekening.
Je kan beter stellen dat een gebruiker ten allen tijde een pure gebruiker is, ongeacht het platform waarop hij/zij werkt.
Een goede handleiding maakt wel degelijk het verschil. Het platform is niet het probleem, hoe graag jij dat ook wel zou willen zien. Wij allen kennen nu onderhand jouw frustratie wel. Dit hoef je wat mij betreft niet meer te pas en te onpas te melden.
Ik moet zeggen dat linus4ever wel een punt heeft. Basale securitytools als ssh moet je voor windows in een hooiberg zoeken, en zelfs dan is het niet echt lekker werken. Op andere platformen is de secure shell daarentegen gemeengoed en moet je bij wijze van spreken moeite doen hem te ontwijken. Daar zou Microsoft best eens wat moeite in mogen steken, ipv het zoveelste herontwerp van het startmenu waar geen hond op zit te wachten. Of zeg ik nu iets heel raars?
Daar zou Microsoft best eens wat moeite in mogen steken, ipv het zoveelste herontwerp van het startmenu waar geen hond op zit te wachten.
Je slaat de spijker op zijn kop.
Wat heb je dat aardig geformuleerd!
Een likje verf hier, een belletje daar en een toetertje er bovenop, dat is de hele innovatie van Mirosoft. In de tussentijd moddert en ploetert de gebruiker al meer dan 20 jaar met hetzelfde ouderwetse achterhaalde en onveilige ftp.
ftp is niet encrypted, ook de wachtwoorden niet en buitengewoon onhandig voor bestandsoverdracht (je moet bijvoorbeeld opletten op 7 of 8 bits bestandsoverdracht, dat is pas echt glashelder voor de pure gebruiker!).
Wanneer gaat Microsoft haar gebruikers nu eindelijk eens helpen met iets dat op veilige en gebruikersvriendelijke bestandsoverdracht lijkt?
ftp is niet encrypted, ook de wachtwoorden niet en buitengewoon onhandig voor bestandsoverdracht (je moet bijvoorbeeld opletten op 7 of 8 bits bestandsoverdracht, dat is pas echt glashelder voor de pure gebruiker!).
Alleen als je archaische software gebruikt. De laatste keer dat ik me druk heb moeten maken over bin/ascii was met de BSD ftp client in 1995-1996 (totdat ik ncftp ondekte). En ftp daemons/clients met SSL/TLS bestaan al zo'n 5-6 jaar.
Basale securitytools als ssh moet je voor windows in een hooiberg zoeken, en zelfs dan is het niet echt lekker werken.
Het windows platform heeft al jaren (sinds NT4) z'n eigen remote protocollen (die ook al enige jaren gewoon tls gebruiken), zoals pstools en de remote desktop en een hele bende taak specifieke remote tools.
Of zeg ik nu iets heel raars?
Alleen als je een windows systeem beheerder zou zijn.
Toch gaat Mac OSX op 24 maart als eerste gehacked worden tijdens de Pwn2Own hacking challenge, zijn de voorspellingen.
De conclusie is dan dat men virussen en spyware schrijft voor het meest gebruikte OS (en dat is XP).
Compleet naast de kwestie en onzin! Er is nog altijd geen werkzaam virus voor OSX in de praktijk en Apple heeft 91% van het marktaandeel van de personal computers van meer dan 1000$.
Maar dat was het onderwerp van de discussie totaal niet!
Bovendien worden de feiten van het hackerscontest weeral totaal uit de context voorgesteld en face-it HIER gaat het nu 1x over Windows-security issues!
Noem dan op zijn minst een security probleem. Je hebt het verhaal niet eens gelezen of je trekt al conclusies. Het gaat hier namelijk om een programma dat geinstalleerd/geactiveerd is vanuit de universiteit. Om gestolen, of zoekgeraakte laptops weer terug te brengen dmv de webcam in de MacBooks. En dat werd misbruikt door mensen van diezelfde universiteit.
Ik ben geen fan van Apple, maar dit soort onzin hoef je echt niet vaker te verkopen.
Toch gaat Mac OSX op 24 maart als eerste gehacked worden tijdens de Pwn2Own hacking challenge
Dat staat nog te bezien.
A researcher who has won at Pwn2Own the last two years wasn't so sure.
he's not as certain as Portnoy that Apple's browser will tumble first. "Unlike previous years, I'd say Safari isn't significantly easier than the browsers on Windows,"
Ik hoop dat ze met de verdubbeling van het prijzengeld deze keer wel een beetje de concurrentie aan kunnen. Met 5000 dollar deden hackers het alleen voor de eer, want buiten de competitie om was met (vooral Windows) lekken veel meer te verdienen. Daardoor raakt het resultaat van de competitie natuurlijk behoorlijk vertekend.
Goh, dan lijken mijn opmerkingen van gisteren zo gek nog niet he. Laat men gewoon beginnen met uitbannen van FTP programma's zonder encrypted wachtwoorden, zoals het door een 'ieder' zo geweldig gevonden FileZilla.
Ja maar.... FileZilla moet toch ook het ongecodeerde wachtwoord sturen naar de FTP server? Dus is het opgeslagen met 'reversible' encryption. En als FileZilla het kan decrypten, kan malware dat ook. Tenzij je een opstart-wachtwoord op FileZilla zet en dat gebruikt wordt voor decryptie van de wachtwoorden. Maar zou de malware dan niet gewoon wachten totdat het wachtwoord alsnog over de lijn gaat naar de server toe? Daarom werkt ook zo'n IP block niet, dan wordt gewoon de malware herschreven en uitgerust met een FTP client die het vanaf de computer van de klant zelf gaat doen. Nee, zolang malware op je pc draait, maakt het niet uit wat andere programma's doen aan encryptie en beveiliging. Hooguit maken ze het ietsje lastiger voor de malware, maar nooit onmogelijk.
Het punt hier is dat de logingegevens gewoon kant en klaar van de schijf worden gehaald.
Sowieso snap ik niet dat zo veel software de mogelijkheid biedt wachtwoorden op te slaan, het haalt het nut van wachtwoorden een beetje onderuit. Het gaat er niet meer om 'wat jij weet' maar 'wat de computer weet'.
Ongelooflijk maar waar... Microsoft raad juist in haar MCSA boeken aan om wachtwoorden wel op te slaan. Dit om keyloggers (die natuurlijk via malware binnen zijn gekomen) minder kans te geven. In de keylogboeken zouden wachtwoorden makkelijk te vinden zijn. (Aldus de renatie van MS.)
Dit is natuurlijk de wereld op zijn kop...
FTP of SFTP maakt geen verschil. De paswoorden worden achterhaald doordat windows-pc's geïnfecteerd zijn met o.a. keyloggers.
Inderdaad: een belangrijke vraag: welk OS draaien de gebruikers. Is het enkel een Windows probleem of ook Linux / Mac OS ?
Is het enkel een Windows probleem of ook Linux / Mac OS ?
Windows only.
Linux en Mac OSX gebruikers hebben out of the box bestandsoverdracht via ssh tot hun beschikking. Een goede serverbeheerder zorgt vervolgens ook nog eens voor een goede opzet met keys, bij voorkeur met passphrase. Je hebt de combinatie van een key op de server en een key op de client nodig om verbinding te maken.
En, o ja: root login? Daar doen we niet aan!
scp (bestandsoverdracht bij Linux en Mac OSX) is ook nog eens super flexibel en geschikt voor ingewikkelde betandsoverdrachten.
Ik vind het gewoon zielig om te zien hoe die Windows gebruikers moeten ploeteren met virussen en ftp. Zo zit je toch altijd in angst en kun je toch nooit lekker werken?
De Graaf erkent dat het een probleem is waar moeilijk tegen valt op te treden.
Je kan als isp best aangeven dat er veiligere Operating Systems zijn die niet zo afhankelijk zijn van virusscanners etc.(gebruikers handelingen).
Dan los je het probleem zo op, en het OS kan je heel vaak nog gratis aanbieden ook.
Ik bedoel als de gebruiker niet veel tijd wilt steken in bijhouden van security, kies dan ook een OS waarbij dat niet zo hard nodig is.(updaten is vanzelfsprekend bij alle software nodig)
Het probleem is, dat iedere oplossing die geen gebruik maakt van windows, meteen afgeschoten wordt. Het wordt zelfs niet overwogen.
Laat ze gewoon doormodderen. Zo lang ik er geen last van heb vind ik het allemaal prima.
Het probleem is, dat iedere oplossing die geen gebruik maakt van windows, meteen afgeschoten wordt. Het wordt zelfs niet overwogen.
Microsoft heeft dat goed geregeld, het zijn natuurlijk altijd Microsoft Partners! Dus in alles wat ze doen is het Microsoft Platform het vertrekpunt.
Gut gut, dit is al zo oud nieuws als wat.
http://www.security.nl/artikel/30639/1/Virusscanners_missen_88%25_Gumblar-aanvallen.html
Uit 08-2009, toen was dit probleem ALLANG bekend.
Dit zou je natuurlijk in je nieuwsbrief naar je klanten kunnen vermelden.
Tevens komen altijd de pogingen van buitenlandse IP's af, die de sites 'hacken'.
Dit kun je dus monitoren, maar waarom zou je als provider? Het is toch de klant z'n probleem? ..
Het is allemaal wat, hoe groter de toko hoe slechter hun beveiliging lijkt het soms wel.
Het gaat hier niet om wachtwoorden die op de server van de provider staan. Het gaat hier om wachtwoorden die gecollecteerd worden op de computers van de klanten, althans dat zegt de directeur van de Hostingprovider. Zelf kan je veel doen om dit te voorkomen. Zo heb ik mijn FTP-wachtwoorden nooit opgeslagen en moet ze bij elke FTP-sessie invoeren in het dialoogvenster van mijn FTP-programma. Voordeel: geen malware kan er aan komen. Nadeel: iets meer werk. Maar het voordeel is hier groter dan het nadeel.
Zo heb ik mijn FTP-wachtwoorden nooit opgeslagen en moet ze bij elke FTP-sessie invoeren in het dialoogvenster van mijn FTP-programma.
Dit word erg lastig op het moment dat je veel verschillende lange sterke paswoorden wilt gebruiken.
Een systeem waarbij je gebruik maakt van public key mechanisme die versleuteld opgeslagen staan op een veilig systeem kun je een veel hogere veiligheid bereiken.
Het FTP protocol is gewoon niet veilig , liever SFTP gebruiken maar dat neemt niet weg dat hosting klanten zelf hun PC's moeten voorzien van de laatste updates en misschien moeten afstappen van Outlook. Wij hebben afgelopen jaar ook een aantal pogingen gehad met betrekking tot FTP wachtwoorden die waren achterhaald maar dat is vrij simpel op te lossen door de klant op te voeden hoe de pc gecontroleerd kan worden op malafide software maar dan kan het nog steeds voorkomen dat de "buurman" via je wireless verbinding de unencrypted FTP wachtwoorden achterhaald.
Als het zoveel klanten zijn die dit probleem veroorzaken dan begin ik toch te denken dat de hosting providers misschien het probleem aan het afschuiven zijn.
Door als cracker het verkeer van een hostingprovider af te luisteren (je weet immers op welke poort je moet zijn) kan het niet zo moeilijk zijn om wachtwoorden te achterhalen. Het inlog proces is zo te achterhalen waarna het opzoek van het wachtwoord een koud kunstje is.
Je moet alleen bereid zijn om er aardig wat tijd in te steken. En laat dat nu net geen probleem zijn voor die lui.
Brute forcing gebeurt ook op SSH en niet zo'n klein beetje ook. De meeste providers geven om die reden ook geen SSH toegang. Dat SSH veilig zou zijn is dan ook een sprookje of je moet met keys werken.
Ga het al je klanten maar uitleggen. Die worden gek van je en stappen naar een provider waar het makkelijker werken is. Logisch.
Dus klantvriendelijkheid en gemakzucht van de klant zullen het FTP verkeer in ere houden.
Daar wringt de schoen. Klanten opvoeden is een leuk woord maar dat werkt maar met een beperkt aantal klanten.
Contradictio in terminis: oud nieuws?? Het artikel is relevant: het speelt immers nu.
Onzin, het is inderdaad oud nieuws. Ik gaf in het andere artikel ook al als reactie dat het zomer verleden jaar al speelde en toen ook al bij diverse providers!!!
Dat nu een paar onoplettende grote jongens klaarblijkelijk de waarschuwingen niet lezen en de forums niet in de gaten houden, moet niet uitgelegd gaan worden alsof het probleem pas nu speelt.
Bij een paar misschien ja, maar het speelt bij velen al veel langer dus ja... het is inderdaad oud nieuws wat nu opgerakeld wordt omdat het een paar grote jongens treft in de hostingwereld.
Bruteforcing gebeurt overigens naast SSH en FTP ook in toenemende mate op email accounts, met name pop3 en smtp. Wat willen jullie daar voor oplossing voor gaan bieden?
Allemaal aan imap?
Een mogelijke oplossing zou kunnen zijn dat een klant een lijstje met IP-adressen verstrekt aan de ISP/hoster. Alleen verbindingen vanaf die IP-adressen kunnen dan inloggen om de website bij te werken.
Uiteraard helpt dit alleen tegen de brute-force methode en niet wanneer je windows-pc gekaapt is en er een IP-tunnel gebruikt wordt en/of men gebruikt de gekaapte pc als proxy-server.
Maar het enige wat altijd veilig werkt is een OS wat gestart wordt van een read-only medium en wat alleen voor een beperkte taak gebruikt wordt.
Brute forcing gebeurt ook op SSH en niet zo'n klein beetje ook. De meeste providers geven om die reden ook geen SSH toegang.
Ssh bied op zijn minst veiligheid voor het paswoord over het netwerk waarmee je al vast een onveilige schakel uitschakelt. Alleen dat maakt het al de moeite waard om over te schakelen na ssh/sftp.
Daarnaast kun je via een ids (intrusion detection system) er voor zorgen dat brutefurce attacks gestopt worden.
Dat SSH veilig zou zijn is dan ook een sprookje of je moet met keys werken.
Dat is veel te sterk gesteld.
De zwakte van ssh is inderdaad dat het nog steeds gebruik kan maken van klassieke paswoorden. Het zorgt echter wel voor versleuteling over het netwerk waardoor het zonder meer veiliger is dan ftp.
Ssh bied op zijn minst veiligheid voor het paswoord over het netwerk waarmee je al vast een onveilige schakel uitschakelt. Alleen dat maakt het al de moeite waard om over te schakelen na ssh/sftp.
Het is niet alsof al die oude protocollen alleen plaintext passwords accepteren. Zo heeft ftp een challene/response mogelijkheid sinds 1997, pop3 heeft dat al sinds 1993 en imap sinds 1994. Daarmee zijn de wachtwoorden veilig, maar nog niet de loginname en de verstuurde data (dat duurde tot de opkomst ssl/tls een paar jaar later).
Daarnaast kun je via een ids (intrusion detection system) er voor zorgen dat brutefurce attacks gestopt worden.
Dat is protocol onafhankelijk. Echter de resultaten uit het verleden tonen aan dat tot nu toe dit soort mechanismes altijd achteraf worden ontwikkeld als er reeds misbruik is gemaakt.
Brute forcing gebeurt ook op SSH en niet zo'n klein beetje ook
Klopt. Je krijgt honderden pogingen vanaf verschillende adressen. Je kunt niet uitsluiten dat dat, ook als je sterke wachtwoorden gebruikt een keer raak is.
Je moet ssh servers die een verbinding naar buiten hebben dus op een goede manier configureren en om van die vervelende logmeldingen af te komen een paar regels aan de firewall toevoegen:
1. PermitRootLogin no
2. PasswordAuthentication no
3. Uittesten.
Je moet natuurlijk een key-paar bij de hand hebben en de public key aan .ssh/authorized_keys toevoegen.
Simpel script tegen brute force ssh-attacks.
#!/bin/sh
#
# Variabelen en interfaces
IPTABLES="/sbin/iptables"
ext="eth0"
int="eth1"
# Beperk de toegang tot de externe interface (ext)
#
lijst="D A"
for i in $lijst ; do
$IPTABLES -${i} INPUT -i ${int} -p tcp --dport 22 -j ACCEPT ;
$IPTABLES -${i} INPUT -i ${ext} -p tcp --dport 22 -m recent --update --seconds 600 --hitcount 7 --name SSH -j DROP ;
$IPTABLES -${i} INPUT -i ${ext} -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH -j ACCEPT ;
$IPTABLES -${i} OUTPUT -p tcp --sport 22 -j ACCEPT ;
done
Na een paar mislukte login pogingen laat de server het packet gewoon vallen en kan de aanvaller een tijdje wachten.
Simpel script tegen brute force ssh-attacks.
...
Na een paar mislukte login pogingen laat de server het packet gewoon vallen en kan de aanvaller een tijdje wachten.
En het antwoord daar op is: slow distributed bruteforce attacks.
Dat kost veel meer tijd dus is de kans dat je paswoord geraden wordt veel kleiner.
Een betere bescherming biedt port knocking.
slow distributed bruteforce attacks
Hmmmm, nou ja hèt antwoord. Alsof ssh dus altijd zo te kraken is, voor Windows hoef je natuurlijk niets meer te doen, je was al veilig.;-)
Het gaat hier bij een met ssh-keys ingerichte server dus allang niet meer om het rade van passwords, maar om van die hinderlijke reeks mislukte logins in /var/log/auth.log.
Het artikel is een aardige illustratie van de wijze waarop malafide figuren werken. Die jongens maken daarbij natuurlijk gebruik van de kracht van botnets, van.... Windows PC's!
Laat dat Windows toch eens buiten beschouwing. De laatste keer dat ik feedback kreeg van een xs4all ipadres dat bezig was met een brute force op mijn machines bleek het een Centos machine te zijn die compromised was via een zwak wachtwoord (medio 2008 was daar de default install dus niet zinnig afgeschermt). Een ander zwak punt is b.v. dat de default exim4 config van b.v. Debian vatbaar is voor backscatter spam. Bij een nieuwe install of overname van onderhoud heb ik een hele waslijst met zwakke punten die gecontroleerd/gefixed moeten worden (langleve sed/grep/awk).
Centos machine te zijn die compromised was via een zwak wachtwoord
Je mist het punt.
Een goedgeconfigureerde ssh-server werkt met ssh-keys en niet met wachtwoorden, dan heb je het hele probleem met wachtwoorden niet meer. Als het dan nog veiliger moet, dan heb je nog een heel scala aan mogelijkheden met de firewall.
Waarom wordt hier een discussie gevoerd over het wel of niet veilig zijn van ftp, sftp, ssh enz.
Welk protocol er ook wordt gebruikt, als iemand beschikt over wachtwoorden kan je via ieder protocol inloggen.
Welk protocol er ook wordt gebruikt, als iemand beschikt over wachtwoorden kan je via ieder protocol inloggen.
1) Opdat de paswoorden bij ftp leesbaar over het netwerk gaan waardoor ze overal gelezen kunnen worden.
2) Omdat ssh de optie bied om over te schakelen na een public/private key mechanisme wat een nog hogere beveiligingsniveau bied.
Maar uiteindelijk falen al deze mechanisme als de client pc's vol spyware staan. Dan is het immers altijd mogelijk om aan de inlog credentials te komen.
Mij bekruipt het idee dat er toch wel meer aan de hand is dan 'spyware bij de klanten' ,helemaal als het om honderden klanten gaat. Mensen die websitebeheer doen, zijn niet de allerdomste computergebruikers, en zullen echt wel een bepaalde graad van bescherming tegen malware hebben. Volgens mij verdoezelen de hosters dat er bijvoorbeeld ergens een switch oid is gesniffed, waardoor deze wachtwoorden zijn onderschept. Dat zal namelijk niet de eerste keer zijn.
En ja, dan kom je weer uit op de vraag: waarom zo'n onveilig protocol blijven gebruiken?
We hebben onlangs een nieuw domein aangevraagd bij Yourhosting en op het moment dat we de benodigde ftp-gegevens kregen was de site al gekraakt en was er een aangepaste index.html geplaatst. Dit bewijst, volgens mij, dat er binnen Yourhosting één of meerdere pc's, gebruikt bij het aanmaken van nieuwe hosting accounts, besmet zijn. Zodra er een nieuw account wordt gemaakt, loopt er een scriptje dat direct het ftp-wachtwoord doorstuurt en een index.html plaatst. Je kan dan een snelle hacker zijn, maar er is geen hacker op deze aardbodem die nieuwe domeinnamen kan raden in zo'n tempo...
Interessante info. Dat wijst ook op een fout bij Yourhosting.
De (weinige) keren dat ik webhosting heb aangevraagd bij een hostingdienst, kreeg ik alle inloggegevens gewoon plain in mijn mailbox. Moet je ns nagaan wat daar onderweg weer allemaal mee mis kan gaan!
True. Alleen jammergenoeg gebruikt niet iedereen PGP of iets dergelijks. Wat trouwens sowieso zou schelen is dat je een username en password in verschillende mailtjes zou sturen. Dan is het al lastiger deze te 'rijmen'.
Over de IP-check die ze willen invoeren: Dat is zeker een goed idee, alleen laten ze mensen wel waarschuwen welke providers niet een fixed-ip geven. Zit nu sinds kort bij ziggo, geen klagen hoor, alleen daar heb je dus geen fixed ip. Deze is inmiddels al 3 keer veranderd, wat knap lastig is als je je eigen DNS recursor gebruikt die dus een IP check doet.
Alleen jammergenoeg gebruikt niet iedereen PGP of iets dergelijks. Wat trouwens sowieso zou schelen is dat je een username en password in verschillende mailtjes zou sturen. Dan is het al lastiger deze te 'rijmen'.
Ik zou het wachtwoord via SMS willen hebben. Daar zou ik zelfs voor willen betalen.
Welk protocol er ook wordt gebruikt, als iemand beschikt over wachtwoorden kan je via ieder protocol inloggen.
ssh maakt om die reden gebruik van het ssh-key mechanisme, de bovenstaande bewering is dus voor ssh niet waar. ssh is namelijk echt een goed protocol.
Als je ssh-keys op de goede manier gebruikt, dan heb je de volgende situatie:
1. Je genereert een key-pair;
2. Je geeft de key een eigennaam, lastig voor crackers;
3. Je geeft de key een passphrase met een sterk wachtwoord;
4. Je configureert de server op uitsluitend key login;
5. Je laat de server afkappen na een paar mislukte logins.
Dit is veel te moeilijk voor de meeste crackers, die hebben in de tussentijd in een handomdraai duizenden ftp-accounts te pakken genomen.
ssh maakt om die reden gebruik van het ssh-key mechanisme, de bovenstaande bewering is dus voor ssh niet waar. ssh is namelijk echt een goed protocol.
Het protocol is mooi, de implementaties af en toe niet.
Mee eens, maar hoe ga je mijn buurman uitleggen hoe dat werkt?
Hij registreert een domein voor zijn net geboren zoontje en zet een paar foto's online. Dit alles op een zo simpel mogelijke manier, dus de "publish" methode van zijn "ontwikkelomgeving" en laat die nu alleen ftp pakken.
Dat je het zelf gebruikt snap ik, doe ik ook. Niet alleen key login trouwens, het ww heeft > 25 chars en is een beetje veel om steeds te typen, daarom de key.
Het maakt allemaal weinig uit. Als spyware wachtwoorden op een pc of uit emails kunnen halen krijgen ze er ook nog wel keys voor ftp uit gevist als het perse nodig is.
Overigens hoeft men voor brute-force protectie niet opnieuw het wiel te gaan uitvinden, een goede firewall zoals CSF heeft dat soort opties al standaard aanwezig en nog veel meer.
Maar aangezien je met in hoofdzaak ondeskundige gebruikers zit, zul je dit soort problemen altijd blijven houden in de toekomst.
Echter zo gauw hosting bedrijven wat sneller en strakker reageren als blijkt dat er een account of een dedicated server gehacked is en er o.a. al poortscans vandaan komen (hetgeen erger kan voorspellen) kun je het op dat niveau aardig opvangen.
De klant zul je het beste gewoon met regelmaat van een goed advies kunnen voorzien en hopen dat ze het opvolgen. Precies als BernardV zegt, de meesten hebben geen flauw idee.
Om te kunnen reageren, dient u ingelogd te zijn.
2 jaar geleden: 13 februari 2010
3 jaar geleden: 13 februari 2009
4 jaar geleden: 13 februari 2008
5 jaar geleden: 13 februari 2007
14 jaar geleden: 13 februari 1998
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, ITworld, Jobworld, MacWorld, RAW fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
