Hallo zusammen, ich betreibe einen Server, der direkt im Internet hängt, und der im wesentlichen einen ssh-Zugang und einen ftp-Zugang anbietet. Der ftp-Zugang wird von vsftp bereitgestellt. Was mich gestern stutzig gemacht hat ist folgendes: in den Logs war zu sehen, daß von einer chinesischen Seite aus zahlreiche fehlgeschlagene ftp-Login-Versuche unternommen wurden. Das ist nicht weiter ungewöhnlich. Ungewöhnlich war allerdings, daß fast alle davon mit Benutzernamen durchgeführt wurden, die auf der Maschine tatsächlich existieren. Ich habe eine Weile gesucht, aber keine Anzeichen gefunden, daß jemand tatsächlich in das System gekommen wäre. Meine Frage nun: ist es möglich, über das ftp-Protokoll durch Probieren in den Besitz gültiger Benutzernamen zu kommen? Oder muß ich allein aufgrund der zielsicheren Wahl der Benutzernamen davon ausgehen, daß der Angreifer schon eine Barriere überwunden hat? Andererseits: wenn er schon so weit gekommen ist, daß er die passwd auslesen kann, was probiert er dann noch lange mit den ftp-Logins herum? Nur um Fragen zuvorzukommen: daß ftp unverschlüsselt ist weiß ich, und es wäre auch nicht tragisch, wenn jemand die Passwörter erraten würde. Aber da ich der Meinung bin, daß über das ftp-Protokoll nicht rauskriegen kann, welche Benutzer es gibt, fürchte ich eben, daß evtl. noch mehr passiert sein könnte. Was ist von alledem zu halten? -- Andre Tann -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Andre, Andre Tann wrote:
ich betreibe einen Server, der direkt im Internet hängt, und der im wesentlichen einen ssh-Zugang und einen ftp-Zugang anbietet. Der ftp-Zugang wird von vsftp bereitgestellt.
Was mich gestern stutzig gemacht hat ist folgendes: in den Logs war zu sehen, daß von einer chinesischen Seite aus zahlreiche fehlgeschlagene ftp-Login-Versuche unternommen wurden. Das ist nicht weiter ungewöhnlich. Ungewöhnlich war allerdings, daß fast alle davon mit Benutzernamen durchgeführt wurden, die auf der Maschine tatsächlich existieren.
Das ist nicht so erstaunlich. Schließlich publizierst Du die Namen ja. Erstaunlich ist es, wenn die User mit falschen Passworten auf den Rechner zugreifen wollen. Denn die Passworte publizierst Du doch auch. Bei ftp werden Username und Passwort im Klartext durchs Netz geschickt!
Ich habe eine Weile gesucht, aber keine Anzeichen gefunden, daß jemand tatsächlich in das System gekommen wäre.
Woran erkennst Du das denn?
Meine Frage nun: ist es möglich, über das ftp-Protokoll durch Probieren in den Besitz gültiger Benutzernamen zu kommen? Oder muß ich allein aufgrund der zielsicheren Wahl der Benutzernamen davon ausgehen, daß der Angreifer schon eine Barriere überwunden hat?
Ich würde davon ausgehen, dass er in der Lage war, Deinen Netztraffic abzuhören.
Andererseits: wenn er schon so weit gekommen ist, daß er die passwd auslesen kann, was probiert er dann noch lange mit den ftp-Logins herum?
In der passwd stehen die Passworte nicht (meistens nicht), sondern in der /etc/shadow. Und die ist erst lesbar, wenn er root-Access hat (dauert meist nicht lange). Allerdings stehen da auch nur die verschlüsselten Passworte. Er müsste erst noch einen brute-force Angriff auf die Datei (auf seinem Rechner) mit john oder so durchführen. Aber wie gesagt: Wenn er das ftp-Protokoll mitlesen konnte, hat er ein paar Passworte im Klartext auf dem Silbertablett bekommen.
Nur um Fragen zuvorzukommen: daß ftp unverschlüsselt ist weiß ich, und es wäre auch nicht tragisch, wenn jemand die Passwörter erraten würde. Aber da ich der Meinung bin, daß über das ftp-Protokoll nicht rauskriegen kann, welche Benutzer es gibt, fürchte ich eben, daß evtl. noch mehr passiert sein könnte.
Welchen Mechanismus hast Du vorgesehen, dass ein ftp-User nicht cd /etc get passwd durchführen kann? So kommt er sofort an alle Usernamen. Das tragische an ftp ist weniger, dass der Filetransfer hinterher unverschlüsselt ist. Wirklich schlimm ist, dass Username und Passwort bereits unverschlüsselt durchs Netz gehen. Ein ftp-Server ist eine Einladung. Übrigens: Es ist vielleicht für Dich nicht tragisch, wenn jemand fremdes den Rechner übernimmt. Aber für alle, die jetzt von Deinem Server z.B. Spammails erhalten, ist das schon unerfreulich. Gruß Jan -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Jan Handwerker, Freitag 05 März 2010:
Das ist nicht so erstaunlich. Schließlich publizierst Du die Namen ja.
Nein, tue ich nicht. Mindestens einer der betroffenen Benutzernamen hat sich schon seit Jahr und Tag nicht mehr per ftp auf der Kiste eingeloggt.
Erstaunlich ist es, wenn die User mit falschen Passworten auf den Rechner zugreifen wollen. Denn die Passworte publizierst Du doch auch. Bei ftp werden Username und Passwort im Klartext durchs Netz geschickt!
Eben. Das heißt also, daß der Angreifer eben doch nicht das Ohr auf der Leitung hatte.
Ich habe eine Weile gesucht, aber keine Anzeichen gefunden, daß jemand tatsächlich in das System gekommen wäre.
Woran erkennst Du das denn?
Ich kann das nicht mit Sicherheit erkennen. Was ich sehe ist, daß auf der Maschine keine ungewöhnlichen Prozesse laufen, daß alle Prozesse, die auf ein Signal reagieren, auch in der Prozeßliste stehen. Ferner kann ich von außen mit tcpdump usw. zuhören, und stelle keinen auffälligen Netzwerkverkehr fest. Ich finde keine Dateien, die mir ungewöhnlich erscheinen. Das sind so die Dinge, die ich geprüft habe. Was kann man noch tun?
Ich würde davon ausgehen, dass er in der Lage war, Deinen Netztraffic abzuhören.
Das sagt man immer so. Aber wie kommt ein Chinese dazu, den Netzwerkverkehr im RZ von Hetzner abzuhören? Bzw. wie würdest Du vorgehen, wenn Du einen bestimmten Traffic belauschen willst. Da mußt Du doch entweder im RZ bei Hetzner sitzen, oder irgendwo bei der Telekom oder bei Arcor. Du kannst den Verkehr doch nicht so ohne weiteres über China leiten, um zuzuhören. Außerdem: hätte er zugehört, wüßte er auch das Paßwort, und bräuchte es nicht durchprobieren.
Welchen Mechanismus hast Du vorgesehen, dass ein ftp-User nicht cd /etc get passwd durchführen kann? So kommt er sofort an alle Usernamen.
Die ftp-User sind alle in ein bestimmtes Nicht-Home-Verzeichnis gechrooted. Dafür, daß das auch tatsächlich so funktioniert, muß ich mich auf den Mechanismus von vsftp verlassen. Den Quellcode kann ich mangels Kenntnis nicht überprüfen.
Übrigens: Es ist vielleicht für Dich nicht tragisch, wenn jemand fremdes den Rechner übernimmt. Aber für alle, die jetzt von Deinem Server z.B. Spammails erhalten, ist das schon unerfreulich.
Natürlich. Aber zumindest derzeit versendet die Kiste keinen Spam. Oder der Angreifer hat auch gleich noch die danebenstehende Kiste gekapert, mit der ich gelauscht habe. Und auch gleich noch Hetzners Traffic-Anzeige-Tool manipuliert, welches mir die Traffic-Statistik anzeigt. Das ist nicht ausgeschlossen, aber auch nicht so allzu naheliegend, und trivial ist das Vorhaben vermutlich auch nicht... Danke+Gruß! -- Andre Tann -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Andre Tann schrieb:
Das sind so die Dinge, die ich geprüft habe. Was kann man noch tun?
Wenn ich das Gefühl habe, einen Eindringling in einem System zu haben, prüfe ich ähnlich. Top: irgenwelche seltsamen Prozesse, die u.U. viel CPU-Leistung brauchen ? netstat: neue Ports auf ? df -h: irgendein Verzeichnis in der Größe gewachsen ? Die Frage ist halt, wie weit Du den o.g. Werkzeugen traust, wenn Du umgekehrt glaubst, dass Dein System kompromitiert ist. Es gab von der IX vor einigen Jahren eine Incident Response Toolkit CD für solche Fälle. Da waren diverse Tools drauf (wie oben), die aber alle statisch gelinkt waren. Und eine eigene bash. D.h., wenn Du von dieser CD die Tools gestartet hast, konnten diese nicht kompromitiert sein. Google 'mal, ob Du diese CD noch findest. Bernd -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On 05.03.2010, Andre Tann wrote:
Meine Frage nun: ist es möglich, über das ftp-Protokoll durch Probieren in den Besitz gültiger Benutzernamen zu kommen? Oder muß ich allein aufgrund der zielsicheren Wahl der Benutzernamen davon ausgehen, daß der Angreifer schon eine Barriere überwunden hat?
Wie sieht denn der login aus? Wenn der ftp-server bei falscher Authentifizierung nur einen generellen Fehler zurueckgibt, dann wird das Herausfinden von existierenden Benutzern extrem schwierig sein durch alleiniges bruteforcen. Wenn natuerlich der Server nach der Eingabe von Benutzer und Passwort sowas liefert wie "falscher Username", dann wird das erheblich leichter... -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Heinz Diehl, Freitag 05 März 2010:
Wenn natuerlich der Server nach der Eingabe von Benutzer und Passwort sowas liefert wie "falscher Username", dann wird das erheblich leichter...
Tja, leider fragt die Kiste nur nach dem Paßwort, wenn der Benutzer existiert. Das ist ärgerlich. -- Andre Tann -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On 05.03.2010 09:56, Andre Tann wrote:
Hallo zusammen,
ich betreibe einen Server, der direkt im Internet hängt, und der im wesentlichen einen ssh-Zugang und einen ftp-Zugang anbietet. Der ftp-Zugang wird von vsftp bereitgestellt.
Was mich gestern stutzig gemacht hat ist folgendes: in den Logs war zu sehen, daß von einer chinesischen Seite aus zahlreiche fehlgeschlagene ftp-Login-Versuche unternommen wurden. Das ist nicht weiter ungewöhnlich. Ungewöhnlich war allerdings, daß fast alle davon mit Benutzernamen durchgeführt wurden, die auf der Maschine tatsächlich existieren.
Sind das Rollenaccounts von dem Server (lp, ftp, www-run etc.) oder manuell angelegte Accounts? Wenn letzteres, dann wäre dies allerdings ein Alarmzeichen.
Ich habe eine Weile gesucht, aber keine Anzeichen gefunden, daß jemand tatsächlich in das System gekommen wäre.
Hat es vielleicht vorher eine Welle von Versuchen gegeben, wo Benutzernamen durchprobiert wurden?
Meine Frage nun: ist es möglich, über das ftp-Protokoll durch Probieren in den Besitz gültiger Benutzernamen zu kommen? Oder muß ich allein aufgrund der zielsicheren Wahl der Benutzernamen davon ausgehen, daß der Angreifer schon eine Barriere überwunden hat?
Wenn es keine Versuche aus dem Netz gegeben hat, dann hat irgendwer vermutlich tatsächlich zumindest einen Shellzugriff auf Userebene erhalten. Haben die FTP-Accounts einen Shellzugriff?
Andererseits: wenn er schon so weit gekommen ist, daß er die passwd auslesen kann, was probiert er dann noch lange mit den ftp-Logins herum?
Weil er über eine Sicherheitslücke auf das System gekommen ist, das nicht unter root läuft? Oder er ist ein Idiot und weiss nicht, was er machen kann. (^-^) -- Sandy Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@)drobic (.) de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Sandy Drobic, Freitag 05 März 2010:
Was mich gestern stutzig gemacht hat ist folgendes: in den Logs war zu sehen, daß von einer chinesischen Seite aus zahlreiche fehlgeschlagene ftp-Login-Versuche unternommen wurden. Das ist nicht weiter ungewöhnlich. Ungewöhnlich war allerdings, daß fast alle davon mit Benutzernamen durchgeführt wurden, die auf der Maschine tatsächlich existieren.
Sind das Rollenaccounts von dem Server (lp, ftp, www-run etc.) oder manuell angelegte Accounts? Wenn letzteres, dann wäre dies allerdings ein Alarmzeichen.
Es sind keine Rollenaccounts, sondern händisch angelegte Accounts. Zwar keine mit ungewöhnlichem Namen, aber immerhin.
Ich habe eine Weile gesucht, aber keine Anzeichen gefunden, daß jemand tatsächlich in das System gekommen wäre.
Hat es vielleicht vorher eine Welle von Versuchen gegeben, wo Benutzernamen durchprobiert wurden?
Hm, jetzt wo Du's sagst... Ja, hat es. Und ich stelle jetzt auch fest, daß der vsftpd nur dann nach dem Paßwort fragt, wenn der Benutzer existiert. Bei nichtexistierenden Benutzern kommt gleich ein "Permission denied, Login failed". Das ist natürlich sehr blöd. Aber so wäre erklärbar, wie der Angreifer auf "Andreas" und "Claudia" kommt. Ich muß mal sehen, ob man dem vsftpd dieses Verhalten abgewöhnen kann.
Wenn es keine Versuche aus dem Netz gegeben hat, dann hat irgendwer vermutlich tatsächlich zumindest einen Shellzugriff auf Userebene erhalten. Haben die FTP-Accounts einen Shellzugriff?
Also nach dem Login landen sie in einem speziellen Verzeichnis, nicht in ~. Aber ja, wenn sie sich via ssh anmelden, dann haben sie Shell-Zugriff. ssh wiederum geht nur mit Keys.
Weil er über eine Sicherheitslücke auf das System gekommen ist, das nicht unter root läuft? Oder er ist ein Idiot und weiss nicht, was er machen kann. (^-^)
Hm... Jedenfalls muß ich die Kiste genau beobachten, und nötigenfalls plätten... Danke für eure Einschätzungen! -- Andre Tann -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On 05.03.2010 10:56, Andre Tann wrote:
Sandy Drobic, Freitag 05 März 2010:
Was mich gestern stutzig gemacht hat ist folgendes: in den Logs war zu sehen, daß von einer chinesischen Seite aus zahlreiche fehlgeschlagene ftp-Login-Versuche unternommen wurden. Das ist nicht weiter ungewöhnlich. Ungewöhnlich war allerdings, daß fast alle davon mit Benutzernamen durchgeführt wurden, die auf der Maschine tatsächlich existieren.
Sind das Rollenaccounts von dem Server (lp, ftp, www-run etc.) oder manuell angelegte Accounts? Wenn letzteres, dann wäre dies allerdings ein Alarmzeichen.
Es sind keine Rollenaccounts, sondern händisch angelegte Accounts. Zwar keine mit ungewöhnlichem Namen, aber immerhin.
Ich habe eine Weile gesucht, aber keine Anzeichen gefunden, daß jemand tatsächlich in das System gekommen wäre.
Hat es vielleicht vorher eine Welle von Versuchen gegeben, wo Benutzernamen durchprobiert wurden?
Hm, jetzt wo Du's sagst... Ja, hat es. Und ich stelle jetzt auch fest, daß der vsftpd nur dann nach dem Paßwort fragt, wenn der Benutzer existiert. Bei nichtexistierenden Benutzern kommt gleich ein "Permission denied, Login failed".
Das ist natürlich sehr blöd. Aber so wäre erklärbar, wie der Angreifer auf "Andreas" und "Claudia" kommt.
Ich muß mal sehen, ob man dem vsftpd dieses Verhalten abgewöhnen kann.
Unter Opensuse 11.1 kommt bei vsftpd erst nach der Paswort-Abfrage ein "Login failed". Ich kann mich daran erinnern, dass unter meinem alten Server dies auch direkt nach einem falschen Benutzernamen kam.
Wenn es keine Versuche aus dem Netz gegeben hat, dann hat irgendwer vermutlich tatsächlich zumindest einen Shellzugriff auf Userebene erhalten. Haben die FTP-Accounts einen Shellzugriff?
Also nach dem Login landen sie in einem speziellen Verzeichnis, nicht in ~. Aber ja, wenn sie sich via ssh anmelden, dann haben sie Shell-Zugriff. ssh wiederum geht nur mit Keys.
Brauchen die wirklich einen Shell-Zugriff? -- Sandy Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@)drobic (.) de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (5)
-
Andre Tann -
Heinz Diehl -
Jan Handwerker -
Lentes, Bernd -
Sandy Drobic