Möglicher Angriff auf proftpd?

[hey.qb]

Guten Abend,

ich hab soeben via OSSEC entdeckt, dass eine FTP Session von einer mir unbekannten IP-Adresse zu meinem Server geöffnet und eine Sekunde später wieder geschlossen worden ist. Da ich der einzige bin, der einen FTP Zugang zum Server besitzt und definitiv im in /var/log/messages angegebenen Zeitfenster keine Session geöffnet habe bin ich stutzig geworden, und habe einen Lookup zu entsprechenden IP Adresse durchgeführt. Dieser führte mich nach Kanada zu iWEB.com. Hab denen jetzt schon ne abuse mail geschickt und die IP Adresse via iptables geblockt.

Kann mein System bereits kompromittiert sein?

Auszug aus messages:

Jan 20 20:23:50 ######## proftpd[32053]: #######.stratoserver.net (174.142.207.178[174.142.207.178]) - FTP session opened.
Jan 20 20:23:50 ######## proftpd[32053]: ########.stratoserver.net (174.142.207.178[174.142.207.178]) - FTP session closed.

System:

VServer mit Opensuse 11.1 + ProFtpd 1.3.2e

Danke Schonmal

 

[Ben.]

Hast du die original OSSEC-Meldung zur Hand?

Wie sieht die entsprechende Policy aus?

Falls es kein Fehlalarm war würde ich zumindest auch das Passwort ändern.

 

[hey.qb]

Hier ist die original-Meldung:

2011 Jan 20 20:23:51 Rule Id: 11201 level: 3
Location: #######->/var/log/messages 
Src IP: 174.142.207.178
FTP session opened.
Jan 20 20:23:50 h1846720 proftpd[32053]: h1846720.stratoserver.net (174.142.207.178[174.142.207.178]) - FTP session opened.

Und jetzt geht es munter weiter -.-

2011 Jan 20 21:45:11 Rule Id: 11203 level: 5
Location: #######->/var/log/messages 
Src IP: 174.36.146.89
Attempt to login using a non-existent user.
Jan 20 21:45:11 ####### proftpd[19736]: h1846720.stratoserver.net (174.36.146.89[174.36.146.89]) - USER anonymous: no such user found from 174.36.146.89 [174.36.146.89] to 85.214.94.30:21

2011 Jan 20 21:45:11 Rule Id: 11201 level: 3
Location: ########->/var/log/messages 
Src IP: 174.36.146.89
FTP session opened.
Jan 20 21:45:10 h1846720 proftpd[19736]: h1846720.stratoserver.net (174.36.146.89[174.36.146.89]) - FTP session opened.

Vllt. nur ein Versuch die Sicherheitslücke der vorherigen Version zu nutzen?

 

[d4f]

Jemand hat deinen Server auf anonymous-ftp (public ftp) gescannt.
Gehoert sowas nicht zum digitalen Grundrauschen des Internet?

 

[Ben.]

Ich würde auf die aktuelle 1.3.3d updaten, egal wie.

 

[hey.qb]

Jemand hat deinen Server auf anonymous-ftp (public ftp) gescannt.
Gehoert sowas nicht zum digitalen Grundrauschen des Internet?

Stimmt schon, mich hat nur der erste Eintrag gewundert. Ist mir zum ersten mal vorgekommen, dass nur eine Session geöffnet wird, ohne weitere Login-Versuche.

@Ben.

Proftpd wird doch von Plesk mitverwaltet. Würde ein manuelles Update mir da nicht die Systemintegrität versauen?

 

[hey.qb]

Naja habe jetzt via fail2ban den proftp Filter so abgeändert, dass dieser unsere freundlichen Taiwanischen Systemscanner schon beim ersten Versuch in's Nirvana schickt.

Danke für eure Hilfe

 

[d4f]

Dann vertipp dich mal lieber nicht

 

[hey.qb]

Ich geb mir Mühe...
Zur Not kann man den Eintrag ja über die shell wieder löschen.

 

[Ben.]

Was Plesk und Systemintegrität angeht kann ich dir nicht beantworten, da ich Plesk noch nie benutzt habe.

Das muss dir jemand anders beantworten.