Problem mit Benutzer ftp

Rund um die Sicherheit des Systems und die Applikationen
lord_pinhead
Posts: 774
Joined: 2004-04-26 15:57

Problem mit Benutzer ftp

Post by lord_pinhead » 2007-08-02 17:20

Ich bin gerade etwas irritiert was da vorhin passiert ist, durch Zufall hab ich das eigentlich nur gesehen. Ein Franzose hat sich an unserer Kiste mit dem User ftp angemeldet obwohl diese Account deaktiviert ist.
Passiert ist nichts, er hat nur eine PHP Datei abgelegt die er nicht aufrufen konnte, er dürfte dann schnell die Lust verloren haben. Zur Zeit habe ich das Homedir auf /dev/null umgelegt von User ftp.

Ich hab es mal probiert mich anzumelden, dürfte eigentlich nicht funktionieren, aber anscheinend hat es doch geklappt. Gibt es für Proftpd Version 1.2.10 einen Bug der so eine Anmeldung möglich macht? Auf den einschlägigen Seiten hab ich nichts gefunden.

Wie gesagt, passiert ist erstmal nix, allerdings bin ich etwas verwundert warum die Version doch so alt ist, hab mich dummerweise auf Debian Verlassen :x Ich kompiliere erstmal die aktuelle Version, hab das Gefühl das es ein unbekannten Exploit dafür gibt.

gierig
Posts: 292
Joined: 2002-10-15 16:59
Location: WHV

Re: Problem mit Benutzer ftp

Post by gierig » 2007-08-02 17:53

Mhhh 1.3.0-19 ist in Debian die stabile (jedenfall in Etch)
1.2.x ist noch sarge wenn ich mich nicht irre, oder ?

Bug kenn ich nicht in der beziehung (was nicht unbedingt was heißen mus).
Halte ich auch für unwarscheinlich, da über den ja normalerweise
anonymus abgewickelt werden, sofern eingerichtet.
Das wäre bestimmt schon aufgefallen.

Denk mal nicht das du die Anonymus access aktiviert hast oder ?
(evt. durch nen include in der haubtvonfig wenn sarge das schon unterstützt hat).


Hab grade noch meien alte Sarge VM (hatte ich für die Upgrade test auf etch) in Betrieb genommen. Keine anoymous config in Proftp, und user FTP ist mit Ausrufezeichen in der shadow auch deaktiviert.
Hab aber auch kein SQL, oder sonstiges gefraffel dazwischen
Stumpf über PAM und Systemuser.....

lord_pinhead
Posts: 774
Joined: 2004-04-26 15:57

Re: Problem mit Benutzer ftp

Post by lord_pinhead » 2007-08-02 18:01

Ist noch ein Sarge System, hatte bisher immernoch keine Zeit es endlich mal auf Etch zu updaten weil es eben ziemlich gut besuchte Seiten hostet.

Ich hab jetzt mal proftpd 1.3.0a installiert und pam abgewürgt:

Code: Select all

./configure --with-modules=mod_quotatab:mod_sql:mod_sql_mysql:mod_quotatab_sql:mod_ratio:mod_tls:mod_rewrite:mod_wrap:mod_quotatab_file:mod_readme:mod_ifsession --with-includes=/usr/include/mysql --with-libraries=/usr/lib/mysql/ --disable-pam 


Pam benötigen wir ja sowisso nicht da wir alle User in der Mysql Datenbank halten und mittels Syscp verwalten. Mich würde es trotzdem mal gerne interessieren wie der das geschafft hat. Ich schreib jetzt erstmal einen Abuse.

Edit:
Damit man auch nicht denkt ich bild mir das ein *G*

Code: Select all

Aug  2 15:03:33 213-239-234-131 proftpd[31521]: 213-239-234-131.clients.your-server.de (62.233.45.71[62.233.45.71]) - USER ftp (Login failed): Incorrect password.
Aug  2 15:03:35 213-239-234-131 proftpd[31521]: 213-239-234-131.clients.your-server.de (62.233.45.71[62.233.45.71]) - USER ftp: Login successful.
Aug  2 16:56:07 213-239-234-131 proftpd[21338]: 213-239-234-131.clients.your-server.de (127.0.0.1[127.0.0.1]) - USER ftp (Login failed): Incorrect password.


beim zweiten Login kam er rein. Puffer Überlauf beim Passwort? Man weiß es nicht.

MFG
Lord_Pinhead

User avatar
Joe User
Project Manager
Project Manager
Posts: 11139
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Problem mit Benutzer ftp

Post by Joe User » 2007-08-02 18:07

Kommt mir bekannt vor, das Thema wurde hier schonmal diskutiert -> SuFu

EDIT: Ich finde es leider nicht, aber diese Debian-Doppel-Login-Geschichte ist noch nicht lange her und ich bin mir sicher, dass es hier diskutiert/erwähnt wurde :/
Last edited by Joe User on 2007-08-02 18:19, edited 1 time in total.

tomotom
Posts: 330
Joined: 2006-09-22 13:37

Re: Problem mit Benutzer ftp

Post by tomotom » 2007-08-02 18:17

Joe User wrote:Kommt mir bekannt vor, das Thema wurde hier schonmal diskutiert -> SuFu

Das interessiert mich jetzt. Ich habe gesucht und ... nichts gefunden. Du meintest Doch im Forum? Ich suche noch. Vieleicht hast Du ja doch noch den Link zu dem Thread in der Hosentasche. I

User avatar
Joe User
Project Manager
Project Manager
Posts: 11139
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Problem mit Benutzer ftp

Post by Joe User » 2007-08-02 19:06


lord_pinhead
Posts: 774
Joined: 2004-04-26 15:57

Re: Problem mit Benutzer ftp

Post by lord_pinhead » 2007-08-02 22:11

Danke für den Link, ich hab Plaintext jetzt rausgeworfen. Ausserdem ist der User FTP jetzt in der Passwd extra auskommentiert und PAM wird von Proftpd nicht mehr verwendet. Wenn jetzt jemand ein erfolgreichen Login bekommt, dann weil er ein Zugang gesniffed hat. Wobei TLS ja unterstützt wird und jeder nutzt es neben WinSCP. Ich glaube ich starte ein zweiten Apachen für WebDAV bzw. schau wie ich es so jetzt einbaue, das schwierige wäre das ich die FTP User der Datenbank dafür gerne "missbrauchen" würde.

gierig
Posts: 292
Joined: 2002-10-15 16:59
Location: WHV

Re: Problem mit Benutzer ftp

Post by gierig » 2007-08-02 22:27

Der im syscpBlog verlinkte Bugreport bei Debian ist auch recht interessant,
und erklärt die Sache. hätte ich nicht gedacht. Bin doch froh das ich
diese Mechanismen nicht benutze.

http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=419255

dazu passend dann der Proftp Bug Report

http://bugs.proftpd.org/show_bug.cgi?id=2922

Böse, böse, böse, da dann quasi jeder user der nicht in der /etc/ftpusers
steht und vermeintlich mit "!" oder "*" deaktiviert trotzdem auch Zugriff bekommt. Und bei den Meisten dürfte da nicht alle USer drinnstehn (bei mir z.B nicht der Postfix, Cyrus, SQL und ein paar andere User).

Halten wir also fest: Proftp Mod_sql mit PlainText Passwörter wirkt
sich in vielen Konfigurationen negativ aus, das es möglich wird sich
mit vermeintlich deaktivierten Systemusern Anzumelden.

lord_pinhead
Posts: 774
Joined: 2004-04-26 15:57

Re: Problem mit Benutzer ftp

Post by lord_pinhead » 2007-08-07 12:51

Also mit entfernen von Plaintext aus der Proftpd Konfiguration läuft es nicht mehr, aber massenhaft versuche sich einzuloggen. Zum test kann man das mal mit einem aktuellen Proftpd machen, es hat auch dort funktioniert.