Hallo Andre, Andre Tann wrote:
ich betreibe einen Server, der direkt im Internet hängt, und der im wesentlichen einen ssh-Zugang und einen ftp-Zugang anbietet. Der ftp-Zugang wird von vsftp bereitgestellt.
Was mich gestern stutzig gemacht hat ist folgendes: in den Logs war zu sehen, daß von einer chinesischen Seite aus zahlreiche fehlgeschlagene ftp-Login-Versuche unternommen wurden. Das ist nicht weiter ungewöhnlich. Ungewöhnlich war allerdings, daß fast alle davon mit Benutzernamen durchgeführt wurden, die auf der Maschine tatsächlich existieren.
Das ist nicht so erstaunlich. Schließlich publizierst Du die Namen ja. Erstaunlich ist es, wenn die User mit falschen Passworten auf den Rechner zugreifen wollen. Denn die Passworte publizierst Du doch auch. Bei ftp werden Username und Passwort im Klartext durchs Netz geschickt!
Ich habe eine Weile gesucht, aber keine Anzeichen gefunden, daß jemand tatsächlich in das System gekommen wäre.
Woran erkennst Du das denn?
Meine Frage nun: ist es möglich, über das ftp-Protokoll durch Probieren in den Besitz gültiger Benutzernamen zu kommen? Oder muß ich allein aufgrund der zielsicheren Wahl der Benutzernamen davon ausgehen, daß der Angreifer schon eine Barriere überwunden hat?
Ich würde davon ausgehen, dass er in der Lage war, Deinen Netztraffic abzuhören.
Andererseits: wenn er schon so weit gekommen ist, daß er die passwd auslesen kann, was probiert er dann noch lange mit den ftp-Logins herum?
In der passwd stehen die Passworte nicht (meistens nicht), sondern in der /etc/shadow. Und die ist erst lesbar, wenn er root-Access hat (dauert meist nicht lange). Allerdings stehen da auch nur die verschlüsselten Passworte. Er müsste erst noch einen brute-force Angriff auf die Datei (auf seinem Rechner) mit john oder so durchführen. Aber wie gesagt: Wenn er das ftp-Protokoll mitlesen konnte, hat er ein paar Passworte im Klartext auf dem Silbertablett bekommen.
Nur um Fragen zuvorzukommen: daß ftp unverschlüsselt ist weiß ich, und es wäre auch nicht tragisch, wenn jemand die Passwörter erraten würde. Aber da ich der Meinung bin, daß über das ftp-Protokoll nicht rauskriegen kann, welche Benutzer es gibt, fürchte ich eben, daß evtl. noch mehr passiert sein könnte.
Welchen Mechanismus hast Du vorgesehen, dass ein ftp-User nicht cd /etc get passwd durchführen kann? So kommt er sofort an alle Usernamen. Das tragische an ftp ist weniger, dass der Filetransfer hinterher unverschlüsselt ist. Wirklich schlimm ist, dass Username und Passwort bereits unverschlüsselt durchs Netz gehen. Ein ftp-Server ist eine Einladung. Übrigens: Es ist vielleicht für Dich nicht tragisch, wenn jemand fremdes den Rechner übernimmt. Aber für alle, die jetzt von Deinem Server z.B. Spammails erhalten, ist das schon unerfreulich. Gruß Jan -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org