Mailinglist Archive: opensuse-de (1404 mails)

< Previous Next >
Re: Einbruch auf ftp-Server?
  • From: Andre Tann <atann@xxxxxxxxxxxx>
  • Date: Fri, 5 Mar 2010 11:08:32 +0100
  • Message-id: <201003051108.32836@xxxxxxxxxx>
Jan Handwerker, Freitag 05 März 2010:

Das ist nicht so erstaunlich. Schließlich publizierst Du die Namen
ja.

Nein, tue ich nicht. Mindestens einer der betroffenen Benutzernamen hat
sich schon seit Jahr und Tag nicht mehr per ftp auf der Kiste
eingeloggt.


Erstaunlich ist es, wenn die User mit falschen Passworten auf
den Rechner zugreifen wollen. Denn die Passworte publizierst Du doch
auch. Bei ftp werden Username und Passwort im Klartext durchs Netz
geschickt!

Eben. Das heißt also, daß der Angreifer eben doch nicht das Ohr auf der
Leitung hatte.



Ich habe eine Weile gesucht, aber keine Anzeichen gefunden, daß jemand
tatsächlich in das System gekommen wäre.

Woran erkennst Du das denn?

Ich kann das nicht mit Sicherheit erkennen. Was ich sehe ist, daß auf
der Maschine keine ungewöhnlichen Prozesse laufen, daß alle Prozesse,
die auf ein Signal reagieren, auch in der Prozeßliste stehen. Ferner
kann ich von außen mit tcpdump usw. zuhören, und stelle keinen
auffälligen Netzwerkverkehr fest. Ich finde keine Dateien, die mir
ungewöhnlich erscheinen.

Das sind so die Dinge, die ich geprüft habe. Was kann man noch tun?



Ich würde davon ausgehen, dass er in der Lage war, Deinen
Netztraffic abzuhören.

Das sagt man immer so. Aber wie kommt ein Chinese dazu, den
Netzwerkverkehr im RZ von Hetzner abzuhören? Bzw. wie würdest Du
vorgehen, wenn Du einen bestimmten Traffic belauschen willst. Da mußt Du
doch entweder im RZ bei Hetzner sitzen, oder irgendwo bei der Telekom
oder bei Arcor. Du kannst den Verkehr doch nicht so ohne weiteres über
China leiten, um zuzuhören.

Außerdem: hätte er zugehört, wüßte er auch das Paßwort, und bräuchte es
nicht durchprobieren.


Welchen Mechanismus hast Du vorgesehen, dass ein ftp-User nicht
cd /etc
get passwd
durchführen kann? So kommt er sofort an alle Usernamen.

Die ftp-User sind alle in ein bestimmtes Nicht-Home-Verzeichnis
gechrooted. Dafür, daß das auch tatsächlich so funktioniert, muß ich
mich auf den Mechanismus von vsftp verlassen. Den Quellcode kann ich
mangels Kenntnis nicht überprüfen.


Übrigens: Es ist vielleicht für Dich nicht tragisch, wenn jemand
fremdes den Rechner übernimmt. Aber für alle, die jetzt von Deinem
Server z.B. Spammails erhalten, ist das schon unerfreulich.

Natürlich. Aber zumindest derzeit versendet die Kiste keinen Spam. Oder
der Angreifer hat auch gleich noch die danebenstehende Kiste gekapert,
mit der ich gelauscht habe. Und auch gleich noch Hetzners
Traffic-Anzeige-Tool manipuliert, welches mir die Traffic-Statistik
anzeigt.

Das ist nicht ausgeschlossen, aber auch nicht so allzu naheliegend, und
trivial ist das Vorhaben vermutlich auch nicht...

Danke+Gruß!


--
Andre Tann

--
Um die Liste abzubestellen, schicken Sie eine Mail an:
opensuse-de+unsubscribe@xxxxxxxxxxxx
Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken
Sie eine Mail an: opensuse-de+help@xxxxxxxxxxxx

< Previous Next >
Follow Ups