On 05.03.2010 09:56, Andre Tann wrote:
Hallo zusammen,
ich betreibe einen Server, der direkt im Internet hängt, und der im wesentlichen einen ssh-Zugang und einen ftp-Zugang anbietet. Der ftp-Zugang wird von vsftp bereitgestellt.
Was mich gestern stutzig gemacht hat ist folgendes: in den Logs war zu sehen, daß von einer chinesischen Seite aus zahlreiche fehlgeschlagene ftp-Login-Versuche unternommen wurden. Das ist nicht weiter ungewöhnlich. Ungewöhnlich war allerdings, daß fast alle davon mit Benutzernamen durchgeführt wurden, die auf der Maschine tatsächlich existieren.
Sind das Rollenaccounts von dem Server (lp, ftp, www-run etc.) oder manuell angelegte Accounts? Wenn letzteres, dann wäre dies allerdings ein Alarmzeichen.
Ich habe eine Weile gesucht, aber keine Anzeichen gefunden, daß jemand tatsächlich in das System gekommen wäre.
Hat es vielleicht vorher eine Welle von Versuchen gegeben, wo Benutzernamen durchprobiert wurden?
Meine Frage nun: ist es möglich, über das ftp-Protokoll durch Probieren in den Besitz gültiger Benutzernamen zu kommen? Oder muß ich allein aufgrund der zielsicheren Wahl der Benutzernamen davon ausgehen, daß der Angreifer schon eine Barriere überwunden hat?
Wenn es keine Versuche aus dem Netz gegeben hat, dann hat irgendwer vermutlich tatsächlich zumindest einen Shellzugriff auf Userebene erhalten. Haben die FTP-Accounts einen Shellzugriff?
Andererseits: wenn er schon so weit gekommen ist, daß er die passwd auslesen kann, was probiert er dann noch lange mit den ftp-Logins herum?
Weil er über eine Sicherheitslücke auf das System gekommen ist, das nicht unter root läuft? Oder er ist ein Idiot und weiss nicht, was er machen kann. (^-^) -- Sandy Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@)drobic (.) de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org