Gravatar de Armonth

Dreamhost con 3500 cuentas FTP comprometidas

Publicado el Viernes 08 de Junio del 2007 @ 2:17 por Armonth.

  • 12
  • 0

  • Comentar

Algunos usuarios de Dreamhost están recibiendo un correo electrónico en donde Dreamhost, una de las compañías de hosting más conocidas, advierte de un problema de seguridad en sus cuentas.

Debo decir de antemano que por suerte, tener una contraseña no poco larga o casualidad yo no he recibido ningún correo pero hay mucha gente que sí concretamente se calcula que un 0.15% de todas las cuentas o lo que es lo mismo: aproximadamente 3.500.

El correo no puede ser más esperanzador:

This email is regarding a potential security concern related to your FTP account. We have detected what appears to be the exploit of a number of accounts belonging to DreamHost customers, and it appears that your account was one of those affected.

We’re still working to determine how this occurred, but it appears that a 3rd party found a way to obtain the password information associated with approximately 3,500 separate FTP accounts and has used that information to append data to the index files of customer sites using automated scripts (primarily for search engine optimization purposes).

Our records indicate that only roughly 20% of the accounts accessed - less than 0.15% of the total accounts that we host - actually had any changes made to them. Most accounts were untouched. We ask that you do the following as soon as possible:

  1. Immediately change your FTP password, as well as that of any other accounts that may share the same password. We recommend the use of passwords containing 8 or more random letters and numbers. You may change your FTP password from the web panel (”Users” section, “Manage Users” sub-section).

  2. Review your hosted accounts/sites and ensure that nothing has been uploaded or changed that you did not do yourself. Many of the unauthorized logins did not result in changes at all (the intruder logged in, obtained a directory listing and quickly logged back out) but to be sure you should carefully review the full contents of your account.

Again, only about 20% of the exploited accounts showed any modifications, and of those the only known changes have been to site index documents (ie. ‘index.php’, ‘index.html’, etc - though we recommend looking for other changes as well).

It appears that the same intruder also attempted to gain direct access to our internal customer information database, but this was thwarted by protections we have in place to prevent such access. Similarly, we have seen no indication that the intruder accessed other customer account services such as email or MySQL databases.

In the last 24 hours we have made numerous significant behind-the-scenes changes to improve internal security, including the discovery and patching to prevent a handful of possible exploits. We will, of course, continue to investigate the source of this particular security breach and keep customers apprised of what we find. Once we learn more, we will be sure to post updates as they become available to our status weblog:

http://www.dreamhoststatus.com/

Thank you for your patience. If you have any questions or concerns, please let us know. — DreamHost Security Team

En resumidas cuentas, los atacantes han “probado” el acceso a varias cuentas y en unas pocas han añadido contenido jugoso para posicionar su(s) página(s). Yo a todo ello añadiría que aunque no seas uno de los afectados deberias forzar una copia de seguridad fuera de las rutinarias y descargarla, que nunca hace daño.

, , ,

12 Comentarios (feed)

  1. Gravatar de Rarok Rarok nos comenta:

    Es la primera vez en mi vida que me alegro de haber usado una contraseña de 10 caracteres alfanumericos y no deducibles facilmente :)

    Viernes, 8 de Junio/2007 @ 7:45

  2. Gravatar de bollofino bollofino nos comenta:

    No sé cómo sería antes, pero en los últimos meses DH se está cubriendo de gloria.
    Pasé un sitio con ellos y al mes tuve que salir de allí echando pestes. 14 Caídas completas del servicio en un mes, algunas de unos minutos, otras de horas, pero la última duraba más de 12 horas (y sin solución a la vista) cuándo volví a trasladar el sitio a un proveedor más serio.
    Al menos son honestos, y tienen una herramienta muy interesante para avisar de los problemas y para que se desfoguen los usuarios cabreados: status.dreamhost.com

    Viernes, 8 de Junio/2007 @ 8:57

  3. Gravatar de Marcos Marcos nos comenta:

    Yo tengo hospedado en DreamHost mi página también desde hace relativamente poco (desde enero) y han habido bastantes caídas. Parece que últimamente va mejor, pero si esto no se arregla a finales de año me buscaré otro hosting mejor.

    Respecto al problema con el FTP, parece que a mí no me ha afectado tampoco, mi contraseña es larga y tiene números y letras, pero no es tampoco especialmente segura.

    Lo que si me ha ocrurrido es que hace unos días recibí un email SPAM de métodos para “hacerse rico con AdSense en 15 días” y el remitente era de dreamost (acababa en “@dreamhost.com”). Armonth tenlo en la memoria por si aparece más gente con ese problema, podría ser otro ataque distinto a DreamHost, en este caso para enviar SPAM a los usuarios… o el propio DreamHost sacando un dinero extra!

    Viernes, 8 de Junio/2007 @ 9:59

  4. Gravatar de Armonth Armonth nos comenta:

    Yo llevo ya tiempo (y no poco) sin caídas (toco madera xD), Marcos sobre lo que comentas eso no tiene nada que ver con dreamhost: es fácil falsear el remitente.

    Viernes, 8 de Junio/2007 @ 12:11

  5. Gravatar de xeon xeon nos comenta:

    Pues nada, a bajar los backups al cole, que tienen 10 Mbps…

    Viernes, 8 de Junio/2007 @ 13:51

  6. Gravatar de corsaria corsaria nos comenta:

    Más les valdría cobrar un poquitín más por el host y evitar estas cosas. :-)

    Viernes, 8 de Junio/2007 @ 14:17

  7. Gravatar de Marcos Marcos nos comenta:

    Sí, yo también pensé que simplemente usarían su dominio para mandar el SPAM, pero viendo este fallo de segridad ya no sabía qué pensar.

    Viernes, 8 de Junio/2007 @ 14:26

  8. Gravatar de CrackVan CrackVan nos comenta:

    joer, pues últimamente vengo viendo unos cuantos comentarios negativos de Dreamhost, menos mal que me fui para Alemania con el hosting (por el rollo de la LOPD y la Safe Harbor List) y de momento va bien (y que siga…)

    Sábado, 9 de Junio/2007 @ 1:26

  9. Gravatar de malder malder nos comenta:

    Se cae cada 2 por 3, pero que le vamos a hacer, no avmos a pedir peras al olmo :(

    Sábado, 9 de Junio/2007 @ 14:20

  10. Gravatar de Armonth Armonth nos comenta:

    Malder ¿y por qué no? hoy en día con la manipulación genetica se hacen maravillas xDDD

    Sábado, 9 de Junio/2007 @ 17:53

  11. Gravatar de René René nos comenta:

    Ufff, por suerte yo tampoco lo he recibido :D

    Sábado, 9 de Junio/2007 @ 20:18

  12. Gravatar de guru.cat guru.cat nos comenta:

    Votad a continuación para que DREAMHOST se adhiera al SAFE HARBOUR LIST (Lista de Puertos Seguros):
    https://panel.dreamhost.com/index.cgi?tree=home.sugg&category=Policies&search=safe%20harbor

    Alternativa legal a dreamhost: www.servage.net ¿Conoceis algun otro?

    Miércoles, 15 de Abril/2009 @ 5:57

Comentarios cerrados