A principios del mes de junio de 2014, varias fuentes informan al CERT de INTECO de credenciales FTP comprometidas que están siendo explotadas activamente con fines maliciosos y que según una serie de pruebas, muchas de las credenciales son válidas.
Puedes acceder al articulo completo en : Incidente con credenciales de FTP comprometidas
Aquí te dejo las recomendaciones finales, que deberías seguir.
Recomendaciones:
En el caso de haberse visto afectado por este incidente de seguridad, desde el CERT le recomendamos:
- Cambiar las contraseñas de todos los usuarios del FTP y del sistema, por si ha habido un mayor grado de compromiso.
- Buscar evidencias relacionadas con lo explicado previamente en los logs del servidor FTP y HTTP.
- Analizar los equipos desde los que se ha accedido con cuentas posiblemente comprometidas, con el fin de identificar el malware con el posiblemente estén infectados y desinfectarlo.
- Implementar medidas de prevención ante este tipo de ataques como pueden ser:
- Establecer caducidad de contraseñas en un periodo razonable, para evitar que las mismas credenciales se puedan utilizar en un largo de periodo de tiempo por los atacantes.
- No reutilizar contraseñas. Cuando un equipo es comprometido y se obtienen credenciales de usuarios, los atacantes tratarán de ganar acceso a otros equipos o servicios haciendo uso de esta información
- En caso de no tener usuarios con acceso desde otros países, filtrar los accesos desde direcciones IP geolocalizadas fuera de España. Esto es evadible accediendo desde España, pero dificulta la tarea de los atacantes y ante casos masivos como este posiblemente lo descarten.