Mailinglist Archive: opensuse-de (1404 mails)
| < Previous | Next > |
Re: Einbruch auf ftp-Server?
- From: Jan Handwerker <techuser.handwerker@xxxxxxxxxx>
- Date: Fri, 05 Mar 2010 10:13:07 +0100
- Message-id: <4B90CB23.6090301@xxxxxxxxxx>
Hallo Andre,
Andre Tann wrote:
Das ist nicht so erstaunlich. Schließlich publizierst Du die Namen
ja. Erstaunlich ist es, wenn die User mit falschen Passworten auf
den Rechner zugreifen wollen. Denn die Passworte publizierst Du doch
auch. Bei ftp werden Username und Passwort im Klartext durchs Netz
geschickt!
Woran erkennst Du das denn?
Ich würde davon ausgehen, dass er in der Lage war, Deinen
Netztraffic abzuhören.
In der passwd stehen die Passworte nicht (meistens nicht), sondern
in der /etc/shadow. Und die ist erst lesbar, wenn er root-Access hat
(dauert meist nicht lange). Allerdings stehen da auch nur die
verschlüsselten Passworte. Er müsste erst noch einen brute-force
Angriff auf die Datei (auf seinem Rechner) mit john oder so
durchführen.
Aber wie gesagt: Wenn er das ftp-Protokoll mitlesen konnte, hat er
ein paar Passworte im Klartext auf dem Silbertablett bekommen.
Welchen Mechanismus hast Du vorgesehen, dass ein ftp-User nicht
cd /etc
get passwd
durchführen kann? So kommt er sofort an alle Usernamen.
Das tragische an ftp ist weniger, dass der Filetransfer hinterher
unverschlüsselt ist. Wirklich schlimm ist, dass Username und
Passwort bereits unverschlüsselt durchs Netz gehen. Ein ftp-Server
ist eine Einladung.
Übrigens: Es ist vielleicht für Dich nicht tragisch, wenn jemand
fremdes den Rechner übernimmt. Aber für alle, die jetzt von Deinem
Server z.B. Spammails erhalten, ist das schon unerfreulich.
Gruß
Jan
--
Um die Liste abzubestellen, schicken Sie eine Mail an:
opensuse-de+unsubscribe@xxxxxxxxxxxx
Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken
Sie eine Mail an: opensuse-de+help@xxxxxxxxxxxx
Andre Tann wrote:
ich betreibe einen Server, der direkt im Internet hängt, und der im
wesentlichen einen ssh-Zugang und einen ftp-Zugang anbietet. Der
ftp-Zugang wird von vsftp bereitgestellt.
Was mich gestern stutzig gemacht hat ist folgendes: in den Logs war zu
sehen, daß von einer chinesischen Seite aus zahlreiche fehlgeschlagene
ftp-Login-Versuche unternommen wurden. Das ist nicht weiter
ungewöhnlich. Ungewöhnlich war allerdings, daß fast alle davon mit
Benutzernamen durchgeführt wurden, die auf der Maschine tatsächlich
existieren.
Das ist nicht so erstaunlich. Schließlich publizierst Du die Namen
ja. Erstaunlich ist es, wenn die User mit falschen Passworten auf
den Rechner zugreifen wollen. Denn die Passworte publizierst Du doch
auch. Bei ftp werden Username und Passwort im Klartext durchs Netz
geschickt!
Ich habe eine Weile gesucht, aber keine Anzeichen gefunden, daß jemand
tatsächlich in das System gekommen wäre.
Woran erkennst Du das denn?
Meine Frage nun: ist es möglich, über das ftp-Protokoll durch Probieren
in den Besitz gültiger Benutzernamen zu kommen? Oder muß ich allein
aufgrund der zielsicheren Wahl der Benutzernamen davon ausgehen, daß der
Angreifer schon eine Barriere überwunden hat?
Ich würde davon ausgehen, dass er in der Lage war, Deinen
Netztraffic abzuhören.
Andererseits: wenn er schon so weit gekommen ist, daß er die passwd
auslesen kann, was probiert er dann noch lange mit den ftp-Logins herum?
In der passwd stehen die Passworte nicht (meistens nicht), sondern
in der /etc/shadow. Und die ist erst lesbar, wenn er root-Access hat
(dauert meist nicht lange). Allerdings stehen da auch nur die
verschlüsselten Passworte. Er müsste erst noch einen brute-force
Angriff auf die Datei (auf seinem Rechner) mit john oder so
durchführen.
Aber wie gesagt: Wenn er das ftp-Protokoll mitlesen konnte, hat er
ein paar Passworte im Klartext auf dem Silbertablett bekommen.
Nur um Fragen zuvorzukommen: daß ftp unverschlüsselt ist weiß ich, und
es wäre auch nicht tragisch, wenn jemand die Passwörter erraten würde.
Aber da ich der Meinung bin, daß über das ftp-Protokoll nicht
rauskriegen kann, welche Benutzer es gibt, fürchte ich eben, daß evtl.
noch mehr passiert sein könnte.
Welchen Mechanismus hast Du vorgesehen, dass ein ftp-User nicht
cd /etc
get passwd
durchführen kann? So kommt er sofort an alle Usernamen.
Das tragische an ftp ist weniger, dass der Filetransfer hinterher
unverschlüsselt ist. Wirklich schlimm ist, dass Username und
Passwort bereits unverschlüsselt durchs Netz gehen. Ein ftp-Server
ist eine Einladung.
Übrigens: Es ist vielleicht für Dich nicht tragisch, wenn jemand
fremdes den Rechner übernimmt. Aber für alle, die jetzt von Deinem
Server z.B. Spammails erhalten, ist das schon unerfreulich.
Gruß
Jan
--
Um die Liste abzubestellen, schicken Sie eine Mail an:
opensuse-de+unsubscribe@xxxxxxxxxxxx
Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken
Sie eine Mail an: opensuse-de+help@xxxxxxxxxxxx
| < Previous | Next > |