unerklärbare FTP-Zugriffe

Rund um die Sicherheit des Systems und die Applikationen
holtsch
Posts: 19
Joined: 2003-04-04 10:01

Re: unerklärbare FTP-Zugriffe

Post by holtsch » 2003-04-07 10:38

Hoi hoi... jetzt gruselt's mich aber... bei mir kommt da reproduzierbar

Code: Select all

101
64
heraus...

Code: Select all

ls -l | grep ps
ergibt

Code: Select all

-r-xr-xr-x    1 root     root        85180 Oct 14 22:08 ps
kann man daraus irgendetwas ablesen?

In meinem xinetd.log habe ich auch haufenweise FTP-Zugriffe von mir nicht bekannten IP-Adressen:

Code: Select all

03/4/3@09:25:25: START: ftp pid=7380 from=219.93.38.16
03/4/3@09:25:25: EXIT: ftp status=1 pid=7380 duration=0(sec)
03/4/3@10:04:55: START: ftp pid=7728 from=219.93.38.16
03/4/3@10:05:04: EXIT: ftp status=1 pid=7728 duration=9(sec)
03/4/3@12:48:17: START: ftp pid=9165 from=80.181.214.115
03/4/3@12:48:17: EXIT: ftp status=1 pid=9165 duration=0(sec)
03/4/4@00:42:33: START: ftp pid=15519 from=200.48.249.99
03/4/4@00:42:33: EXIT: ftp status=1 pid=15519 duration=0(sec)
03/4/4@12:28:37: START: ftp pid=21537 from=218.55.217.120
03/4/4@12:28:37: EXIT: ftp status=1 pid=21537 duration=0(sec)
03/4/4@16:55:08: START: ftp pid=23344 from=203.198.205.102
03/4/4@16:55:27: EXIT: ftp status=1 pid=23344 duration=19(sec)
03/4/4@18:27:47: START: ftp pid=23965 from=65.24.208.114
03/4/4@18:27:52: EXIT: ftp status=1 pid=23965 duration=5(sec)
03/4/4@21:44:44: START: ftp pid=25291 from=203.198.205.102
03/4/4@21:44:44: EXIT: ftp status=1 pid=25291 duration=0(sec)
... was insofern sehr bedenklich ist, weil ich FTP eigentlich gar nicht benutze (der Rootserver ist seit 3.4 online, inzwischen habe ich FTP ausgeschaltet).

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: unerklärbare FTP-Zugriffe

Post by captaincrunch » 2003-04-07 10:49

holtsch wrote:Hoi hoi... jetzt gruselt's mich aber... bei mir kommt da reproduzierbar

Code: Select all

101
64
heraus...
Du beziehst dich auf den von mir geposteten Einzeiler, richtig ?

Code: Select all

ls -l | grep ps
ergibt

Code: Select all

-r-xr-xr-x    1 root     root        85180 Oct 14 22:08 ps
kann man daraus irgendetwas ablesen?
Sicherlich : es gibt ein Binary, das nun mal "ps" heißt ... :wink:
In meinem xinetd.log habe ich auch haufenweise FTP-Zugriffe von mir nicht bekannten IP-Adressen:
[...]
... was insofern sehr bedenklich ist, weil ich FTP eigentlich gar nicht benutze (der Rootserver ist seit 3.4 online, inzwischen habe ich FTP ausgeschaltet).

Kamen die Logeinträge bevor, oder nachdem du den FTPD gestoppt hast ?

Mal ernsthaft : an den von dir geposteten Informationen lässt sich erstmal gar nichts ablesen. Am besten postest du
a) einen Link mit der Augabe von ps aux
b) einen Link mit der Ausgabe von ls -l /proc | grep [0-9]
Anhand dessen kann man dir eher weiterhelfen.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

holtsch
Posts: 19
Joined: 2003-04-04 10:01

Re: unerklärbare FTP-Zugriffe

Post by holtsch » 2003-04-07 12:02

Danke erstmal für die schnelle Antwort!
CaptainCrunch wrote: Du beziehst dich auf den von mir geposteten Einzeiler, richtig ?
Ja.
CaptainCrunch wrote:
holtsch wrote:

Code: Select all

-r-xr-xr-x    1 root     root        85180 Oct 14 22:08 ps
kann man daraus irgendetwas ablesen?
Sicherlich : es gibt ein Binary, das nun mal "ps" heißt ... :wink:
;-) Meine Frage ging eher in die Richtung: wenn ps von einem Hacker ausgetauscht worden wäre, könnte er das Datum auf Oct 14 setzen (wohl nicht so schwer)? Und: deutet die Dateigröße (85180) auf einen Hack hin? Wenn:

Code: Select all

p15124732:~ # ps -V
procps version 2.0.7
(ich hab die Root-Server SuSE 8.1 Standardinstallation)
Kamen die Logeinträge bevor, oder nachdem du den FTPD gestoppt hast ?
Vorher.
Mal ernsthaft : an den von dir geposteten Informationen lässt sich erstmal gar nichts ablesen. Am besten postest du
a) einen Link mit der Augabe von ps aux
b) einen Link mit der Ausgabe von ls -l /proc | grep [0-9]
Anhand dessen kann man dir eher weiterhelfen.
Oki, psaux.txt steht auf http://ultimage.net/psaux.txt.
ls -l /proc | grep [0-9] steht auf http://ultimage.net/lslproc.txt.