Mailinglist Archive: opensuse-de (1404 mails)
| < Previous | Next > |
Re: Einbruch auf ftp-Server?
- From: Andre Tann <atann@xxxxxxxxxxxx>
- Date: Fri, 5 Mar 2010 10:56:04 +0100
- Message-id: <201003051056.04410@xxxxxxxxxx>
Sandy Drobic, Freitag 05 März 2010:
Es sind keine Rollenaccounts, sondern händisch angelegte Accounts. Zwar
keine mit ungewöhnlichem Namen, aber immerhin.
Hm, jetzt wo Du's sagst... Ja, hat es. Und ich stelle jetzt auch fest, daß der
vsftpd nur dann nach dem Paßwort fragt, wenn der Benutzer existiert. Bei
nichtexistierenden Benutzern kommt gleich ein "Permission denied, Login
failed".
Das ist natürlich sehr blöd. Aber so wäre erklärbar, wie der Angreifer
auf "Andreas" und "Claudia" kommt.
Ich muß mal sehen, ob man dem vsftpd dieses Verhalten abgewöhnen kann.
Also nach dem Login landen sie in einem speziellen Verzeichnis, nicht in
~. Aber ja, wenn sie sich via ssh anmelden, dann haben sie
Shell-Zugriff. ssh wiederum geht nur mit Keys.
Hm...
Jedenfalls muß ich die Kiste genau beobachten, und nötigenfalls
plätten...
Danke für eure Einschätzungen!
--
Andre Tann
--
Um die Liste abzubestellen, schicken Sie eine Mail an:
opensuse-de+unsubscribe@xxxxxxxxxxxx
Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken
Sie eine Mail an: opensuse-de+help@xxxxxxxxxxxx
Was mich gestern stutzig gemacht hat ist folgendes: in den Logs war zu
sehen, daß von einer chinesischen Seite aus zahlreiche fehlgeschlagene
ftp-Login-Versuche unternommen wurden. Das ist nicht weiter
ungewöhnlich. Ungewöhnlich war allerdings, daß fast alle davon mit
Benutzernamen durchgeführt wurden, die auf der Maschine tatsächlich
existieren.
Sind das Rollenaccounts von dem Server (lp, ftp, www-run etc.) oder manuell
angelegte Accounts? Wenn letzteres, dann wäre dies allerdings ein
Alarmzeichen.
Es sind keine Rollenaccounts, sondern händisch angelegte Accounts. Zwar
keine mit ungewöhnlichem Namen, aber immerhin.
Ich habe eine Weile gesucht, aber keine Anzeichen gefunden, daß jemand
tatsächlich in das System gekommen wäre.
Hat es vielleicht vorher eine Welle von Versuchen gegeben, wo Benutzernamen
durchprobiert wurden?
Hm, jetzt wo Du's sagst... Ja, hat es. Und ich stelle jetzt auch fest, daß der
vsftpd nur dann nach dem Paßwort fragt, wenn der Benutzer existiert. Bei
nichtexistierenden Benutzern kommt gleich ein "Permission denied, Login
failed".
Das ist natürlich sehr blöd. Aber so wäre erklärbar, wie der Angreifer
auf "Andreas" und "Claudia" kommt.
Ich muß mal sehen, ob man dem vsftpd dieses Verhalten abgewöhnen kann.
Wenn es keine Versuche aus dem Netz gegeben hat, dann hat irgendwer
vermutlich tatsächlich zumindest einen Shellzugriff auf Userebene
erhalten. Haben die FTP-Accounts einen Shellzugriff?
Also nach dem Login landen sie in einem speziellen Verzeichnis, nicht in
~. Aber ja, wenn sie sich via ssh anmelden, dann haben sie
Shell-Zugriff. ssh wiederum geht nur mit Keys.
Weil er über eine Sicherheitslücke auf das System gekommen ist, das nicht
unter root läuft? Oder er ist ein Idiot und weiss nicht, was er machen
kann. (^-^)
Hm...
Jedenfalls muß ich die Kiste genau beobachten, und nötigenfalls
plätten...
Danke für eure Einschätzungen!
--
Andre Tann
--
Um die Liste abzubestellen, schicken Sie eine Mail an:
opensuse-de+unsubscribe@xxxxxxxxxxxx
Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken
Sie eine Mail an: opensuse-de+help@xxxxxxxxxxxx
| < Previous | Next > |