Zasady dotyczące aktualizacji oprogramowania, poprawnej konfiguracji oraz błędów wszelakich – obowiązują wszystkich. Także użytkowników wywodzących się spod ciemnej gwiazdy. Jednemu takiemu przydarzyła się następująca przygoda, którą opisał na forum:
Posiadał botnet o rozmiarze ponad 100 tysięcy maszyn. Zarządzał nim od kilku lat za pomocą znanego narzędzia, które zwie się Zeus. Pewnego dnia ktoś przejął jego botnet, dodał nowe konto do panelu zarządzającego i zmienił wygląd zewnętrzny panelu na pomarańczowy :) Po tym jak naprawił błędnie skonfigurowane uprawnienia do katalogów udało mu się odzyskać/utworzyć na nowo 2 sieci botnet o sile 33 tysięcy maszyn. Niestety po jakimś czasie okazało się, że jego panel administracyjny ponownie został przejęty, najprawdopodobniej za pomocą błędu typu SQL injection (domniemanie ofiary). Oczywiście możliwe było jeszcze przejęcie całego serwera hostingowego.
Na koniec wiadomości otrzymujemy garść porad dla użytkowników aplikacji Zeus w kierunku zwiększenia bezpieczeństwa, takich jak zmiana standardowych poleceń na unikalne, ograniczenie dostępu do zasobów z określonych adresów IP itp. Zupełnie jakbym słyszał specjalistę od security, który zaleca działania mające pozytywnie wpłynąć na bezpieczeństwo. W zasadzie jedno z drugim ma wiele wspólnego. Różnica jest taka, że w tym wypadku użytkownikiem aplikacji jest przestępca. Z drugiej strony zaczynam się właśnie zastanawiać czy już na rynku istnieje oferta „audytów bezpieczeństwa” i „testów penetracyjnych” dla klientów spod ciemnej gwiazdy. Można by zostać prekursorami, którzy zaatakują ten jakże lukratywny segment rynku :] Nie wiem tylko czy potem w portfolio powinno się umieszczać takich klientów. Z drugiej strony 100 tysięcy maszyn to już nie lada klient o odpowiednio ciemnej i konkretnej reputacji, więc czemu nie ;]]]
Źródło: http://ddanchev.blogspot.com/2009/02/help-someone-hijacked-my-100k-zeus.html