Sandy Drobic, Freitag 05 März 2010:
Was mich gestern stutzig gemacht hat ist folgendes: in den Logs war zu sehen, daß von einer chinesischen Seite aus zahlreiche fehlgeschlagene ftp-Login-Versuche unternommen wurden. Das ist nicht weiter ungewöhnlich. Ungewöhnlich war allerdings, daß fast alle davon mit Benutzernamen durchgeführt wurden, die auf der Maschine tatsächlich existieren.
Sind das Rollenaccounts von dem Server (lp, ftp, www-run etc.) oder manuell angelegte Accounts? Wenn letzteres, dann wäre dies allerdings ein Alarmzeichen.
Es sind keine Rollenaccounts, sondern händisch angelegte Accounts. Zwar keine mit ungewöhnlichem Namen, aber immerhin.
Ich habe eine Weile gesucht, aber keine Anzeichen gefunden, daß jemand tatsächlich in das System gekommen wäre.
Hat es vielleicht vorher eine Welle von Versuchen gegeben, wo Benutzernamen durchprobiert wurden?
Hm, jetzt wo Du's sagst... Ja, hat es. Und ich stelle jetzt auch fest, daß der vsftpd nur dann nach dem Paßwort fragt, wenn der Benutzer existiert. Bei nichtexistierenden Benutzern kommt gleich ein "Permission denied, Login failed". Das ist natürlich sehr blöd. Aber so wäre erklärbar, wie der Angreifer auf "Andreas" und "Claudia" kommt. Ich muß mal sehen, ob man dem vsftpd dieses Verhalten abgewöhnen kann.
Wenn es keine Versuche aus dem Netz gegeben hat, dann hat irgendwer vermutlich tatsächlich zumindest einen Shellzugriff auf Userebene erhalten. Haben die FTP-Accounts einen Shellzugriff?
Also nach dem Login landen sie in einem speziellen Verzeichnis, nicht in ~. Aber ja, wenn sie sich via ssh anmelden, dann haben sie Shell-Zugriff. ssh wiederum geht nur mit Keys.
Weil er über eine Sicherheitslücke auf das System gekommen ist, das nicht unter root läuft? Oder er ist ein Idiot und weiss nicht, was er machen kann. (^-^)
Hm... Jedenfalls muß ich die Kiste genau beobachten, und nötigenfalls plätten... Danke für eure Einschätzungen! -- Andre Tann -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org