Le 23/06/2010 22:34, Nina Popravka a écrit :
Le 22 juin 2010 12:15, Jérémy Martin <li...@freeheberg.com
<mailto:li...@freeheberg.com>> a écrit :
Depuis plusieurs mois, on a de plus en plus de cas de comptes FTP
(hébergement mutualisés) qui se font hack via une connexion tout à
fait normale (password ok, pas de brute force). Après analyse
auprès de quelques clients qu'on a pu contacter, il apparait que
la cause est toujours la même : un magnifique trojan (on a vu un
peu tout ce qui traine sur le net) qui logue le clavier, et qui
renvoi le password FTP de notre client vers le pirate.
Et vous, rencontrez vous la même problématique ? Avez vous trouvé
des solutions ?
Excellente question, et je parle de l'autre côté de la barrière,
m'enfin je suis quand même pas une totale incompétente, ni une totale
évaporée niveau sécurité, et je me suis fait trouer 2 serveurs dédiés
il y a 2 mois.
Pas de brute force, très certainement un keylogger, et très
vraisemblablement rentré par une faille d'acrobat reader, et sur ma
machine (l'antimachin s'est réveillé 3 semaines après suite à une maj
pourtant journalière)
Alors j'ai tout remonté en mode paranoïaque (maj win quotidiennes, et
t'as pas le choix, ellle s'applique et tu redémarres, antimachin de la
mort qui tue mis à jour toutes les 2 heures, dès qu'il y a une maj du
moindre applicatif, hop elle se déploie etc...)
Même comme ça, je ne suis plus rassurée, le FarWest était une
promenade de santé face au naininternet de nos jours :-/
Alors oui, j'ai la même problématique, et je cherche d'autres
solutions, m'enfin si il faut déclarer des listes d'IP autorisées et
n'autoriser l'accès qu'à certaines versions de BSD, l'exploitation va
devenir très difficile, forcément :-)
Ca me déprime, tiens...
--
Nina
Coté utilisateur on pourrait citer l'utilisation de SFTP à la place du
FTP, couplé à l'utilisation impérative d'une clé SSH avec passphrase. Ca
ne fait certainement pas tout, mais déjà ça évite les problèmes de
sniffing et coté "malware" il faut un soft qui face keylogger +
récupération de la clé RSA sur le disque.
Je suis probablement naïf, mais je me dis que ça limite déjà un peu les
problèmes.
Dommage que ce genre de chose n'est pas aussi simplement intégré à
Windows que sur un desktop Linux ; à moins qu'il y ait des outils
simples permettant ça ? J'entends par là que sous Linux/Gnome la
passphrase de l'utilisateur lui est automatiquement demandée
graphiquement (et mémorisée pendant toute la session ou X minutes), et
que la plupart des softs type SFTP vont également utiliser cette clé SSH
par défaut. Dans mes souvenirs sous Windows faut installer PuttyAgent,
le configurer pour se lancer au démarrage, lui faire précharger la clé
(et donc demander le pass dès le démarrage), puis espérer que le soft
passera par PuttyAgent ; non ?
Mais la suggestion de Spyou de whitelister uniquement les réseaux
susceptibles d'être utilisés par les clients / la société, ça me botte
bien aussi. En complément bien sûr.
Maintenant sans verser dans le troll, ne pas utiliser de produit Adobe
peut-être une solution relativement efficace également :)
En passant, le poste Windows en question, il n'a pas de firewall ? Et le
réseau local non plus ? Parce que le keylogger, il les envoi bien
quelque part les infos récupérées, non ?
Olivier
