Hi, wir haben bei uns einen Linux FTP server laufen. Mir fiel vor ca. 1 Woche schon auf das sich irgendjemand, offensichtlich aus Frankreich (habe mit tracert unter windoof feststellen können das der log-in "Versuch" von einem Server eines Französischen Providers kam, allerdings bedeutet das an sich ja noch nicht so viel), versucht bei uns am FTP-Server einzuloggen. Er hat "lustige" Benutzernamen wie "leech, download, upload, guest, visitor" usw. probiert, dann schließlich "root" und "admin"... Kein Log-In Versuch erfolgreich. Glücklicherweise. Mein "Freund" hat das auch per SSH probiert, allerdings ohne erfolg. Letzte Nacht kam er wieder, hat ca. 100 login versuche per ftp gestartet, alle mit root und admin als Benutzernamen. Jeder der Log-In Versuche lag ca. 2 bis 10 Sekunden auseinander. Vorhin, während ich als root per SSH von meinem Büro aus (10 Meter vom Server entfernt...) doppelt eingeloggt war (hatte zwei Konsolen offen) stand in meiner Konsole folgendes: Message from syslogd@intranet at Wed May 5 14:59:00 2004 ... intranet --- Sollte mir das was sagen? (schreibt syslogd nachrichten an root in denen der rechnername steht?) Ich bin ehrlich etwas verängstigt. Ich habe die Log-In Shell des Servers bei jedem user, der nur FTP können soll auf "/bin/false" gesetzt. Es gibt jetzt nur noch "system-user" die sich über /bin/bash anmelden können. Ich muss mich leider als root immernoch per SSH anmelden können. Dies wäre nämlich der erste Zugang den ich dicht machen würde ;) Meine Fragen nun: 1. Sollte ich mir ernsthafte Gedanken machen? 2. Wie kann ich das System sicherer machen (kann ich die shell _aller_ user bis auf root in /bin/false setzen, ohne das dies zu beeinträchtigungen am system führt? 3. Hat jemand hier ähnliche Probleme (eventuell auch frankreich?) Grüße, Denis Hessberger
- Schau mal nach ob du eine aktuelle ftpd Version hast - vielleicht ist eine alte mit Sicherheitsloch drauf welches der Angreifer ausnutzen möchte. - Schick deine Logs an den Provider - setze den ftpd in eine virtuelle PC Umgebung (ähnlich FreeBSD-jail) - Um ganz sicher zu gehen setze einen PC daneben, der sich mit der seriellen Konsole verbindet und schalte ssh ab - damit kommst du dann trotzdem über diesen Umweg auf die Kiste. Gruß, Oliver Kellermann
- Schick deine Logs an den Provider
PRUST!LACH! ich registriere an die hundert versuche taeglich hier im t-online netz einzubrechen und habe mir eine zeitlang die muehe gemacht, dies zu melden (die angriffen kamen auch AUS dem t-online netz!!), und: nicht mal eine antwort habe ich bekomme...
- setze den ftpd in eine virtuelle PC Umgebung (�hnlich FreeBSD-jail)
und natuerlich sowieso als user nobody und nicht als root...
- Um ganz sicher zu gehen setze einen PC daneben, der sich mit der seriellen Konsole verbindet und schalte ssh ab - damit kommst du dann trotzdem �ber diesen Umweg auf die Kiste.
ODER mache einen extra rechner in die DMZ der nur ftp kann. der kann ja ueber NFS/ro bestimmte laufwerke (squash_root) gemounted haben, dann passiert auch nix. am besten das system dann von CDROM starten... ciao T
Denis Hessberger (WYSIWYG Support) wrote:
Hi,
wir haben bei uns einen Linux FTP server laufen. Mir fiel vor ca. 1 Woche schon auf das sich irgendjemand, offensichtlich aus Frankreich (habe mit tracert unter windoof feststellen können das der log-in "Versuch" von einem Server eines Französischen Providers kam, allerdings bedeutet das an sich ja noch nicht so viel), versucht bei uns am FTP-Server einzuloggen. Er hat "lustige" Benutzernamen wie "leech, download, upload, guest, visitor" usw. probiert, dann schließlich "root" und "admin"...
Kein Log-In Versuch erfolgreich. Glücklicherweise.
hmm ... noch würde ich sagen ... ;-)
Mein "Freund" hat das auch per SSH probiert, allerdings ohne erfolg.
Letzte Nacht kam er wieder, hat ca. 100 login versuche per ftp gestartet, alle mit root und admin als Benutzernamen. Jeder der Log-In Versuche lag ca. 2 bis 10 Sekunden auseinander.
wenn du solche sachen unterbinden willst solltest du dir mal Portsentry und Logsentry ansehen ... Portsentry kann man so einstellen das er nach einer bestimmten Anzahl von Verbindungsversuchen den Rechner automatisch via hosts.deny oder Firewall blocken kann ... Logsentry kann dir das dann zumailen wenn in den Logs was verdachtiges steht ...
Vorhin, während ich als root per SSH von meinem Büro aus (10 Meter vom Server entfernt...) doppelt eingeloggt war (hatte zwei Konsolen offen) stand in meiner Konsole folgendes:
Message from syslogd@intranet at Wed May 5 14:59:00 2004 ... intranet
dazu kann ich dir leider nichts sagen ... wüsste nicht woher die meldung im normal laufenden betrieb kommen sollte ... Allerdings weis ich auch nicht was noch bei dir im Hintergrund läuft ...
--- Sollte mir das was sagen?
wie gesagt : keine Ahnung ...
(schreibt syslogd nachrichten an root in denen der rechnername steht?) Ich bin ehrlich etwas verängstigt.
Wäre ich auch ... vieleicht solltest du neben den Sentrytools mal noch ein Tripwire installieren ... dann kannst du wenigstens sehen wenn eine Datei geändert wurde ...
Ich habe die Log-In Shell des Servers bei jedem user, der nur FTP können soll auf "/bin/false" gesetzt. Es gibt jetzt nur noch "system-user" die sich über /bin/bash anmelden können. Ich muss mich leider als root immernoch per SSH anmelden können. Dies wäre nämlich der erste Zugang den ich dicht machen würde ;)
Meine Fragen nun: 1. Sollte ich mir ernsthafte Gedanken machen? 2. Wie kann ich das System sicherer machen (kann ich die shell _aller_ user bis auf root in /bin/false setzen, ohne das dies zu beeinträchtigungen am system führt? 3. Hat jemand hier ähnliche Probleme (eventuell auch frankreich?)
Um sicherheit kann man sich nie genug gedanken machen ... aber mit den o. g. tools siehst du wenigstens wenn was sein sollte .. Gruß Frank Noel
Grüße,
Denis Hessberger
Hallo Denis, On Wed, 2004-05-05 at 15:46, Denis Hessberger (WYSIWYG Support) wrote:
Ich muss mich leider als root immernoch per SSH anmelden können. Dies wäre nämlich der erste Zugang den ich dicht machen würde ;)
Das verstehe ich nicht. Du kannst Dich doch mit einem anderen Benutzer anmelden und dann "su" oder "sudo" benutzen! Einen remote root Zugang zu erlauben ist gelinde gesagt grob fahrlässig. Also: Systembenutzer und root den Zugang über FTP und SSH sperren!!! Unter yast die Berechtigungen für Dateien auf die höchste Stufe setzen. Ausgewählten Benutzern Zugang zu "su" und "sudo" geben, beispielsweise über Mitgliedschaft in einer "wheel" Gruppe und Setzen der Gruppenrechte auf wheel für diese beiden binaries.
Meine Fragen nun: 1. Sollte ich mir ernsthafte Gedanken machen?
Ja, zumindestens über die Art und Weise wie Du Logins zulässt. FTP ist ja schon übel genug, weil Passwörter im Klartext übertragen werden. Aber dann auch noch root Zugang erlauben...
2. Wie kann ich das System sicherer machen (kann ich die shell _aller_ user bis auf root in /bin/false setzen, ohne das dies zu beeinträchtigungen am system führt?
Siehe oben. Und unbedingt Tripwire oder AIDE installieren und sauber konfigurieren. Dann regelmäßig überprüfen!
3. Hat jemand hier ähnliche Probleme (eventuell auch frankreich?)
Nicht, wenn man auf unsichere Protokolle (FTP) und unnötige Risiken (remote root Zugang) verzichtet. Wenn Du FTP unbedingt brauchst, dann tunnel das wenigstens über SSH oder so. Gruß, Tobias
Hello Tobias, Wednesday, May 5, 2004, 4:06:43 PM, you wrote:
Das verstehe ich nicht. Du kannst Dich doch mit einem anderen Benutzer anmelden und dann "su" oder "sudo" benutzen! Stimmt, daran habe ich ehrlich gesagt gar nicht mehr gedacht.
Einen remote root Zugang zu erlauben ist gelinde gesagt grob fahrlässig. Also: Systembenutzer und root den Zugang über FTP und SSH sperren!!! D.h. Bei allen die Log-In Shell auf /bin/false setzen?
Unter yast die Berechtigungen für Dateien auf die höchste Stufe setzen. Ausgewählten Benutzern Zugang zu "su" und "sudo" geben, beispielsweise über Mitgliedschaft in einer "wheel" Gruppe und Setzen der Gruppenrechte auf wheel für diese beiden binaries. Ok.
Ja, zumindestens über die Art und Weise wie Du Logins zulässt. FTP ist ja schon übel genug, weil Passwörter im Klartext übertragen werden. Aber dann auch noch root Zugang erlauben... Bei FTP ist das Problem, das der Server eigentlich nur zum Informationsaustausch mit Kunden dient, dh. PC-unerfahrene user müssen einfach Dateien hoch- und runterladen können. FTP findet dort hauptsächlich über den IE statt.
Siehe oben. Und unbedingt Tripwire oder AIDE installieren und sauber konfigurieren. Dann regelmäßig überprüfen!
Mache ich.
Nicht, wenn man auf unsichere Protokolle (FTP) und unnötige Risiken (remote root Zugang) verzichtet. Wenn Du FTP unbedingt brauchst, dann tunnel das wenigstens über SSH oder so.
Oben genanntes Problem ;) Schon mal danke für die vielen Antworten. Ich werde die nächsten Tage erst mal eine "FTP Server down for maintance" meldung auf den http-teil des Servers "werfen" und vsftpd sowie ssh ausschalten, bis ich das Problem lösen konnte... Denis
"Denis Hessberger (WYSIWYG Support)"
Schon mal danke für die vielen Antworten. Ich werde die nächsten Tage erst mal eine "FTP Server down for maintance" meldung auf den http-teil des Servers "werfen" und vsftpd sowie ssh ausschalten, bis ich das Problem lösen konnte...
Was für ein Problem überhaupt? Bisher hast Du noch nicht von einem Problem berichtet. Wenn Du brauchbare Passwörter benutzt, kann doch jeder versuchen sich einzuloggen solange bis er schwarz wird. Was kümmert's Dich? Martin
D.h. Bei allen die Log-In Shell auf /bin/false setzen?
NEIN! unter /etc/ssh/sshd_config allow root login auf false setzen. dann kann man sich als benutzer anmelden und mit su auf root wechseln. ftp sollte immer als user nobody laufen, niemals als root. aber am besten gar nicht.
Ja, zumindestens �ber die Art und Weise wie Du Logins zul�sst. FTP ist ja schon �bel genug, weil Passw�rter im Klartext �bertragen werden. Aber dann auch noch root Zugang erlauben... Bei FTP ist das Problem, das der Server eigentlich nur zum Informationsaustausch mit Kunden dient, dh. PC-unerfahrene user m�ssen einfach Dateien hoch- und runterladen k�nnen. FTP findet dort haupts�chlich �ber den IE statt.
wozu dann ftp? da ist HTTP doch viel besser? gerade wenn die leute iex benutzen. ansonsten sollen sie halt winscp benutzen, das ist echt fuer dummies und geht ueber sftp.
Nicht, wenn man auf unsichere Protokolle (FTP) und unn�tige Risiken (remote root Zugang) verzichtet. Wenn Du FTP unbedingt brauchst, dann tunnel das wenigstens �ber SSH oder so.
Oben genanntes Problem ;)
warum? winscp ist frei, gut schnell. oder putty. ebenfalls frei. oder wincommander mit sftp plugin. oder ueber http. oder https. oder oder oder oder. es gibt so viele sichere moeglichkeiten, aber gerade ftp ist die schlechteste. wir machen datenaustausch mit benutzer nur ueber https mit passwortabfrage. zum hochladen wird ein einfaches mail script ueber https aufgerufen. der webserver laeuft als eigener benutzer im chroot jail. das ist wesentlich sicherer.
sowie ssh ausschalten, bis ich das Problem l�sen konnte...
ARGH. warum ssh ausschalten? ciao T
Hello Tobias, Wednesday, May 5, 2004, 4:06:43 PM, you wrote:
Hallo Denis,
On Wed, 2004-05-05 at 15:46, Denis Hessberger (WYSIWYG Support) wrote:
Ich muss mich leider als root immernoch per SSH anmelden können. Dies wäre nämlich der erste Zugang den ich dicht machen würde ;)
Das verstehe ich nicht. Du kannst Dich doch mit einem anderen Benutzer anmelden und dann "su" oder "sudo" benutzen!
So... habe meine /etc/passwd jetzt dahin gehend geändert das jeder user /bin/false als shell hat, bis auf root und meinen neuen user. Dieser user ist auch in der Gruppe die su kann - "wheel". Die Rechte von /bin/su sehen so aus, dass die Gruppe "wheel" den Befehl ausführen kann. Wenn ich mich jetzt mit meinem "neuen" user am system über ssh anmelde, funktioniert das. Wenn ich dann anschließend "su" tippe, fragt er mich auch nach dem Passwort, sagt aber anschließend "su: ungueltiges kennwort" hat jemand eine Ahnung woran das liegen kann? Danke, Denis
Hi. Denis Hessberger (WYSIWYG Support) schrieb am 05/05/2004 05:04 PM:
Wenn ich mich jetzt mit meinem "neuen" user am system über ssh anmelde, funktioniert das. Wenn ich dann anschließend "su" tippe, fragt er mich auch nach dem Passwort, sagt aber anschließend "su: ungueltiges kennwort" hat jemand eine Ahnung woran das liegen kann?
Wahrscheinlich ist der neue User nicht Mitglied der Gruppe wheel, oder? Michael.
Hi Denis, Am Mittwoch, 5. Mai 2004 15:46 schrieb Denis Hessberger (WYSIWYG Support):
Hi,
wir haben bei uns einen Linux FTP server laufen. Mir fiel vor ca. 1 Woche schon auf das sich irgendjemand, offensichtlich aus Frankreich (habe mit tracert unter windoof feststellen können das der log-in "Versuch" von einem Server eines Französischen Providers kam, allerdings bedeutet das an sich ja noch nicht so viel), versucht bei uns am FTP-Server einzuloggen. Er hat "lustige" Benutzernamen wie "leech, download, upload, guest, visitor" usw. probiert, dann schließlich "root" und "admin"...
Kein Log-In Versuch erfolgreich. Glücklicherweise.
Das ganze kommt mir ziemlich bekannt vor. Als ich noch einen privaten FTP laufen hatte, habe ich auch ständig Angriffe aus Frankreich verzeichnen können. Da es aber schon etwas her ist müsste ich jetzt nach den Logs suchen... Mittlerweile habe ich auf FTP verzichtet.
Mein "Freund" hat das auch per SSH probiert, allerdings ohne erfolg.
*g* Das hat mein Freund damals nicht gemacht.
Ich habe die Log-In Shell des Servers bei jedem user, der nur FTP können soll auf "/bin/false" gesetzt.
Das ist auch sinnvoll. Zudem solltest du den FTP soweit wie möglich absichern. Das steht ja schon in anderen Mails (DMZ / Jail / Honeypott usw.)
Es gibt jetzt nur noch "system-user" die sich über /bin/bash anmelden können.
Ich habe nie etwas an den Accounts von Systemusern verändert. Das war mir zu heikel. Aber was interessieren dich die Systemuser? Beschränke den Login doch auf bestimmte User.
Ich muss mich leider als root immernoch per SSH anmelden können. Dies wäre nämlich der erste Zugang den ich dicht machen würde ;)
Nun ich habe auch via SSH Root-Zugriff auf meine Rechner. Denn ich sehe den Umweg über Userlogin und su als nicht sicherer an, wenn auch grafische Ausgaben getunnelt werden sollen. Was du aber machen kannst, ist den Login (für Root oder alle) auf einen IP-Bereich zu begrenzen. Zudem den Keyboard-interactiv Zugang soweit wie möglich beschränken.
Meine Fragen nun: 1. Sollte ich mir ernsthafte Gedanken machen?
Gedanken um die Sicherheit sollte man sich immer machen.
2. Wie kann ich das System sicherer machen (kann ich die shell _aller_ user bis auf root in /bin/false setzen, ohne das dies zu beeinträchtigungen am system führt?
s.o.
3. Hat jemand hier ähnliche Probleme (eventuell auch frankreich?)
Jup. :-) Überleg mal ob du tatsächlich einen FTP brauchst. Oder ob du deinen Kunden nicht WinSCP vorsetzen kannst...
Grüße,
Denis Hessberger
Viele Grüße Andreas -- "Das Telefon hat zu viele ernsthaft zu bedenkende Mängel für ein Kommunikationsmittel. Das Gerät ist von Natur aus von keinem Wert für uns." (Western Union, Interne Mitteilung, 1876)
participants (9)
-
Andreas Hergesell
-
Damian Philipp
-
Denis Hessberger (WYSIWYG Support)
-
Dr. Thorsten Brandau
-
Frank Noel
-
Martin Schmitz
-
Michael Schachtebeck
-
Oliver Kellermann
-
Tobias Weisserth