ftp를 통해서도 해킹이 가능한가요?

eminency의 이미지

리눅스의 경우입니다.

서버의 계정 관리에 하도 과민반응을 하는 사람이 있어서 콘솔 로그인은 막고 ftp만이라도 되게 해달라고 부탁했는데 ftp를 통해서도 해킹이 가능하다면서 거절하더군요. 물론 자세히 아는 것 같진 않았지만...

즉, ftp를 해킹하는게 아니라 ftp계정만으로 서버에 침입해서 크래킹이 가능하다는 얘기인데 저는 해킹 쪽 지식은 전무한지라 선뜻 납득이 안되더군요.

실제로 가능한지... 가능하다면 어떤 원리를 이용한 건지 설명을 부탁드립니다.

NamSa의 이미지

Back Construction, Blade Runner, Cattivik FTP Server, CC Invader, Dark FTP, Doly Trojan, Fore, FreddyK, Invisible FTP, Juggernaut 42, Larva, MotIv FTP, Net Administrator, Ramen, RTB 666, Senna Spy FTP server, The Flu, Traitor 21, WebEx, WinCrash 등의 툴로 공격이 가능합니다~~
저도 초보이기 때문에 .. 원리에 관해서는 ....

jj의 이미지

eminency wrote:
리눅스의 경우입니다.

서버의 계정 관리에 하도 과민반응을 하는 사람이 있어서 콘솔 로그인은 막고 ftp만이라도 되게 해달라고 부탁했는데 ftp를 통해서도 해킹이 가능하다면서 거절하더군요. 물론 자세히 아는 것 같진 않았지만...

즉, ftp를 해킹하는게 아니라 ftp계정만으로 서버에 침입해서 크래킹이 가능하다는 얘기인데 저는 해킹 쪽 지식은 전무한지라 선뜻 납득이 안되더군요.

실제로 가능한지... 가능하다면 어떤 원리를 이용한 건지 설명을 부탁드립니다.

계정을 통해서라기보단, FTP 서버자체에 버그가 있는경우, 이런걸 생각한다면 잠재적인 문제점을 가지고 있다고 볼 수 있겠죠.

하지만 이런식으로라면, ssh도 열어두지 못할것 같네요.

--
Life is short. damn short...

NamSa의 이미지

jj wrote:
eminency wrote:
리눅스의 경우입니다.

서버의 계정 관리에 하도 과민반응을 하는 사람이 있어서 콘솔 로그인은 막고 ftp만이라도 되게 해달라고 부탁했는데 ftp를 통해서도 해킹이 가능하다면서 거절하더군요. 물론 자세히 아는 것 같진 않았지만...

즉, ftp를 해킹하는게 아니라 ftp계정만으로 서버에 침입해서 크래킹이 가능하다는 얘기인데 저는 해킹 쪽 지식은 전무한지라 선뜻 납득이 안되더군요.

실제로 가능한지... 가능하다면 어떤 원리를 이용한 건지 설명을 부탁드립니다.

계정을 통해서라기보단, FTP 서버자체에 버그가 있는경우, 이런걸 생각한다면 잠재적인 문제점을 가지고 있다고 볼 수 있겠죠.

하지만 이런식으로라면, ssh도 열어두지 못할것 같네요.

윗분 말에 전적으로 ..

동의 합니다 .. 아직 보안을 .. 공부하는 학생이지만..

100%막는 다는 건 불가능합니다...

단지 줄이기 위할뿐이죠..

보안의 목적에는 3가지가 있는데 .. 가용성 기밀성 무결성

이중에 가용성.. 사용자가 필요로 할때 언제든지 사용할수 있도록 한다는 것에 .. 위배되는 듯하군요..
학생의 말이니.. 그냥..참고정도로만.. ~~

fibonacci의 이미지

sftp가 아닌이상, 스니핑의 희생물이 될 가능성이 다분합니다.

No Pain, No Gain.

temper의 이미지

ftp 에 로그인할때 패킷을 훔쳐보니깐 그러는거 아닌가요?
그럼 ssh 를 쓰는거나 telnet 을 쓰는거나 별차이가 없게되는거죠.
ftp 서버자체는 별로 위험하지 않아요.
sftp 를 열어달라고 해보세요.

아님 rz나 sz 를 쓰는것도 좀 불편하긴 하지만 쓸만하죠.

무한포옹의 이미지

temper wrote:
ftp 에 로그인할때 패킷을 훔쳐보니깐 그러는거 아닌가요?
그럼 ssh 를 쓰는거나 telnet 을 쓰는거나 별차이가 없게되는거죠.
ftp 서버자체는 별로 위험하지 않아요.
sftp 를 열어달라고 해보세요.

아님 rz나 sz 를 쓰는것도 좀 불편하긴 하지만 쓸만하죠.

ftp 서버 자체가 위험하지 않다는 편견을 버리셔요..

ftp 가 21번 포트를 사용하고 시스템 전체 인증 과정을 사용하고 있다면 (pam등)

당연히 root 권한이라는 얘기지요. 언제 어떻게 공격을 당할 지는 알 수 없는 일입니다.

저는 될 수 있으면 시스템 계정보다는 ftp 자체 인증이나 , 외부 db 인증을 쓰고 싶어하고 , port 도 iptables 로 돌려버리고, ftp도 root 권한이 아닌 user로 돌리고 싶은 마음입니다.

sftp 강추임에는 틀림 없습니다만..

-------------------------------
== warning 대부분 틀린 얘기입니다 warning ===

댓글 달기

Filtered HTML

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

BBCode

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param>
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

Textile

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • You can use Textile markup to format text.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Markdown

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • Quick Tips:
    • Two or more spaces at a line's end = Line break
    • Double returns = Paragraph
    • *Single asterisks* or _single underscores_ = Emphasis
    • **Double** or __double__ = Strong
    • This is [a link](http://the.link.example.com "The optional title text")
    For complete details on the Markdown syntax, see the Markdown documentation and Markdown Extra documentation for tables, footnotes, and more.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Plain text

  • HTML 태그를 사용할 수 없습니다.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 줄과 단락은 자동으로 분리됩니다.
댓글 첨부 파일
이 댓글에 이미지나 파일을 업로드 합니다.
파일 크기는 8 MB보다 작아야 합니다.
허용할 파일 형식: txt pdf doc xls gif jpg jpeg mp3 png rar zip.
CAPTCHA
이것은 자동으로 스팸을 올리는 것을 막기 위해서 제공됩니다.