Mailinglist Archive: opensuse-de (1404 mails)
| < Previous | Next > |
Re: Einbruch auf ftp-Server?
- From: Sandy Drobic <opensuse-de@xxxxxxxxx>
- Date: Fri, 05 Mar 2010 10:38:25 +0100
- Message-id: <4B90D111.3000905@xxxxxxxxx>
On 05.03.2010 09:56, Andre Tann wrote:
Sind das Rollenaccounts von dem Server (lp, ftp, www-run etc.) oder manuell
angelegte Accounts? Wenn letzteres, dann wäre dies allerdings ein Alarmzeichen.
Hat es vielleicht vorher eine Welle von Versuchen gegeben, wo Benutzernamen
durchprobiert wurden?
Wenn es keine Versuche aus dem Netz gegeben hat, dann hat irgendwer vermutlich
tatsächlich zumindest einen Shellzugriff auf Userebene erhalten. Haben die
FTP-Accounts einen Shellzugriff?
Weil er über eine Sicherheitslücke auf das System gekommen ist, das nicht
unter root läuft? Oder er ist ein Idiot und weiss nicht, was er machen kann.
(^-^)
--
Sandy
Antworten bitte nur in die Mailingliste!
PMs bitte an: news-reply2 (@)drobic (.) de
--
Um die Liste abzubestellen, schicken Sie eine Mail an:
opensuse-de+unsubscribe@xxxxxxxxxxxx
Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken
Sie eine Mail an: opensuse-de+help@xxxxxxxxxxxx
Hallo zusammen,
ich betreibe einen Server, der direkt im Internet hängt, und der im
wesentlichen einen ssh-Zugang und einen ftp-Zugang anbietet. Der
ftp-Zugang wird von vsftp bereitgestellt.
Was mich gestern stutzig gemacht hat ist folgendes: in den Logs war zu
sehen, daß von einer chinesischen Seite aus zahlreiche fehlgeschlagene
ftp-Login-Versuche unternommen wurden. Das ist nicht weiter
ungewöhnlich. Ungewöhnlich war allerdings, daß fast alle davon mit
Benutzernamen durchgeführt wurden, die auf der Maschine tatsächlich
existieren.
Sind das Rollenaccounts von dem Server (lp, ftp, www-run etc.) oder manuell
angelegte Accounts? Wenn letzteres, dann wäre dies allerdings ein Alarmzeichen.
Ich habe eine Weile gesucht, aber keine Anzeichen gefunden, daß jemand
tatsächlich in das System gekommen wäre.
Hat es vielleicht vorher eine Welle von Versuchen gegeben, wo Benutzernamen
durchprobiert wurden?
Meine Frage nun: ist es möglich, über das ftp-Protokoll durch Probieren
in den Besitz gültiger Benutzernamen zu kommen? Oder muß ich allein
aufgrund der zielsicheren Wahl der Benutzernamen davon ausgehen, daß der
Angreifer schon eine Barriere überwunden hat?
Wenn es keine Versuche aus dem Netz gegeben hat, dann hat irgendwer vermutlich
tatsächlich zumindest einen Shellzugriff auf Userebene erhalten. Haben die
FTP-Accounts einen Shellzugriff?
Andererseits: wenn er schon so weit gekommen ist, daß er die passwd
auslesen kann, was probiert er dann noch lange mit den ftp-Logins herum?
Weil er über eine Sicherheitslücke auf das System gekommen ist, das nicht
unter root läuft? Oder er ist ein Idiot und weiss nicht, was er machen kann.
(^-^)
--
Sandy
Antworten bitte nur in die Mailingliste!
PMs bitte an: news-reply2 (@)drobic (.) de
--
Um die Liste abzubestellen, schicken Sie eine Mail an:
opensuse-de+unsubscribe@xxxxxxxxxxxx
Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken
Sie eine Mail an: opensuse-de+help@xxxxxxxxxxxx
| < Previous | Next > |