given_to_fly Geschrieben 12. Juni 2002 Geschrieben 12. Juni 2002 Hi. Ich habe hier bei mir sehr viele Angriffe auf FTP. Wann ist ein Angriff nun ein Angriff. z.B. hat sich ein User als anonym bei mir angemeldet und hat die passwd datei sich runtergezogen. Ist das nun illegal und kann ich dagegen vorgehen? Wie kann ich es abstellen das sich User die passwd datei saugen. Habe Suse 7.2 und PROFtp am laufen. Hab jetzt schon den anonym deaktiviert.. *gg* Ich glaube dann hat sich das Prob. mit dem anonym anmelden und datei saugen erledigt. Aber ich will ja das leute als anonym anmelden und was machen können, aber NICHT die passwd saugen. Wie kann ich das realisieren? Gruß Hexdump Zitieren
DanielB Geschrieben 12. Juni 2002 Geschrieben 12. Juni 2002 Durch eine chroot Umgebung für die Benutzer. www.proftpd.org für mehr Informationen. Zitieren
FunkyBeat Geschrieben 12. Juni 2002 Geschrieben 12. Juni 2002 oder auch erstmal eine halbwegs gehirnaktivierte Konfiguration des ftp-servers... wie kommt ein user im Anon-Account an die passwd? btw: hat er die shadow auch gesaugt? Zitieren
gurkenpapst Geschrieben 12. Juni 2002 Geschrieben 12. Juni 2002 Wieso Angriff? Wenn du das zulässt das jemand deine passwd liest wie willst du dann dagegen vorgehen? Ich würde sowieso nie mehr erlauben als nötig... und die passwd zu lesen halte ich für nicht nötig. Wickle das ganze über eine vernünftige benutzerrechteverwaltung ab und du solltest damit keine Probleme haben. Aber als Angriff würde ich das nicht werten. Zitieren
given_to_fly Geschrieben 12. Juni 2002 Autor Geschrieben 12. Juni 2002 Hi. Ich erlaube es ja auch nicht. Aber das ist ein BUG bei FTP. Wenn ich jetzt hier schreibe wie es funktioniert, dann wird der Thread gelöscht , weil das unter "HACKING" fällt. Nur zur INFO: Ich sperre die FTP-User ja in ihren HOME Verzeichniss ein. Sie kommen also nicht aufs System. Leider kann man aber über umwegen die Shadow und die passwd Datei saugen..... MfG Hexdump Zitieren
FunkyBeat Geschrieben 12. Juni 2002 Geschrieben 12. Juni 2002 updaten. wenn nicht, würde mich die Sicherheitslücke interessieren. Es ist recht unwahrscheinlich, dass es zu einem known Exploit noch keinen Patch gibt. Ansonsten bitte ich um den Exploit, aber lass erst mal hören, was TschiTschi dazu sagt. Zitieren
given_to_fly Geschrieben 12. Juni 2002 Autor Geschrieben 12. Juni 2002 Neuste Version schon vorhanden. Zitieren
TschiTschi Geschrieben 12. Juni 2002 Geschrieben 12. Juni 2002 Den Exploit kannst Du ruhig posten - Lücken zu posten widerspricht nicht den Boardregeln!! BTW: Wer den "anonymous-Account" offen lässt, darf nicht von Einbruch reden! (Bug hin oder her) GG Zitieren
nic_power Geschrieben 12. Juni 2002 Geschrieben 12. Juni 2002 Welche passwd wurde den gezogen, /etc/passwd oder die passwd die ein Anonymous User in /etc/passwd "sieht"? In der stehen naemlich nur die Informationen, die benoetigt werden, um bei einem "ls" oder "dir" Benutzer- und Gruppennamen anzeigen und nicht nur die ids. Diese /etc/passwd liegt unterhalb der chroot-Umgebung fuer Anonymous Benutzer und sollte in keinem Fall irgendwelche Passworte enthalten oder gar eine Kopie der echten /etc/passwd sein. Nic Zitieren
FunkyBeat Geschrieben 12. Juni 2002 Geschrieben 12. Juni 2002 nic bringt licht ins Dunkel <g> Sowas hab ich schon vermutet, mangels besserem Wissens aber die Klappe gehalten <g> Aber wenn Hexdump einen Exploit kennt, der für _seinen_ Einbruch verantwortlich ist, nur her damit, das wär interessant! Zitieren
given_to_fly Geschrieben 13. Juni 2002 Autor Geschrieben 13. Juni 2002 Hi. Ok nun wenn ich sagen darf wie es funzt dann gut ) Fakten : - Er hat die /etc Passwd und die shadow datei gezogen - Er hat Anonym benutzt Die Info dazu habe ich von www.why-online.de Leider ist die Page zur zeit Down wegen Restart und Umbauten. Funktionsweise: Man meldet sich per FTP mit: User : anonymus Pass : Irgendeine mail adresse an. Dann gibt man : get /etc/passwd get /etc/shadow (keine ahnung wo genau die jetzt liegt ) Funktioniert dies nicht nutzt man sich nen Bug über den IE aus . Es ist eine bestimmte adresse un die IP des Rechners (stand auch auf Why-Online, wie gesagt leider down. später nachschauen). Dieser Bug funktioniert auf jeden Fall. So bekommt man die Dateien. Nun benutzt man ein Tool zum entcrypten (Wurde auch gleich mit angeboten) und entschlüsselt die Dateien. Und Worla willkommen im Reich meines Rechners. MfG Hexdump Zitieren
FunkyBeat Geschrieben 13. Juni 2002 Geschrieben 13. Juni 2002 Ich kann mir nicht vorstellen, wie ein Bug im IE eine Sicherheitslücke in ProFTP auslösen könnte. Was hälst du von nic_powers Theorie? (Hab ein paar Index-Seiten im google-Archiv gefunden, aber nix allzu vielversprechendes dabei...) Zitieren
given_to_fly Geschrieben 13. Juni 2002 Autor Geschrieben 13. Juni 2002 Original geschrieben von FunkyBeat Was hälst du von nic_powers Theorie? Hi. Weiss nicht was ich dazu sagen soll, dazu habe ich zu wenig Ahnung von den beiden Dateien. Ich weiss nur , das ich die beiden Dateien entcryptet habe und somit auch das PW und den User herauslesen konnte. Es ist ja keine Sicherheitslücke oder BUG in IE sonderm im FTP. MfG Hexdump Zitieren
FunkyBeat Geschrieben 13. Juni 2002 Geschrieben 13. Juni 2002 helmle@gentoo helmle $ lukemftp localhost Connected to localhost. 220 ProFTPD 1.2.5 Server (ProFTPD Default Installation) [gentoo.local] Name (localhost:helmle): anonymous 331 Anonymous login ok, send your complete email address as your password. Password: 230 Anonymous access granted, restrictions apply. Remote system type is UNIX. Using binary mode to transfer files. ftp> get /etc/passwd local: /etc/passwd remote: /etc/passwd lukemftp: local: /etc/passwd: Permission denied ftp> bye 221 Goodbye. bei mir geht's nicht. Wie sieht Deine proftp.conf aus? @nic_power: eine etc/passwd oder etc/groups brauchts bei proftp nicht. sieht schwer danach aus, als wäre das nur bei wuftp nötig... Zitieren
given_to_fly Geschrieben 13. Juni 2002 Autor Geschrieben 13. Juni 2002 Ich spreche hier ja auch nicht von UNIX sondern von Linux. Wie gesagt, manchmal funktioniert das nicht dann musst du über den IE gehen. Wenn du Site mal wieder online ist kann ich hier ja mal den genauen Link posten.. Gruß hexdump Zitieren
FunkyBeat Geschrieben 13. Juni 2002 Geschrieben 13. Juni 2002 das war eine linux-maschine! Zeig doch mal deine config her! Zitieren
given_to_fly Geschrieben 13. Juni 2002 Autor Geschrieben 13. Juni 2002 Du hast ja auch LukemFTP verwendet.. Und Remote TYPE is UNIX *gg* SICHER`????? =) Zitieren
nic_power Geschrieben 13. Juni 2002 Geschrieben 13. Juni 2002 Original geschrieben von FunkyBeat helmle@gentoo helmle $ lukemftp localhost Connected to localhost. 220 ProFTPD 1.2.5 Server (ProFTPD Default Installation) [gentoo.local] Name (localhost:helmle): anonymous 331 Anonymous login ok, send your complete email address as your password. Password: 230 Anonymous access granted, restrictions apply. Remote system type is UNIX. Using binary mode to transfer files. ftp> get /etc/passwd local: /etc/passwd remote: /etc/passwd lukemftp: local: /etc/passwd: Permission denied ftp> bye 221 Goodbye. bei mir geht's nicht. Wie sieht Deine proftp.conf aus? @nic_power: eine etc/passwd oder etc/groups brauchts bei proftp nicht. sieht schwer danach aus, als wäre das nur bei wuftp nötig... Wuftp benoetigt diese Datei ebenfalls nicht. Nur dann wenn due Benutzer- und Gruppennamen anstelle der uid und gid beim Anonymous ftp sehen moechtest, kannst Du eine entsprechende /etc/passwd anlegen (ueblicherweise unter ~ftp/etc). Auf keinen Fall solltest Du die echte /etc/passwd kopieren. Ich gehe mal davon aus, dass auch proftpd in einer chroot-Umgebung laeuft, d.h. der "Angreifer" uebertraegt nicht die globale /etc/passwd. Nic Zitieren
DanielB Geschrieben 13. Juni 2002 Geschrieben 13. Juni 2002 Original geschrieben von Hexdump Du hast ja auch LukemFTP verwendet.. Und Remote TYPE is UNIX *gg* SICHER`????? =) LukemFTP ist ein FTP Client und Remote Type ist bei einem Linux FTP Server UNIX L8. Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.