PeterSpass23
New Member
Hallo zusammen, (erst Edit beachten)
ich habe heute (seit längerem) mal wieder einen virtuellen Sicherheitsrundgang auf einem meiner Server gemacht und dabei ist mir etwas mit proftpd aufgefallen (siehe Bild aus dem Anhang, ich habe bis auf den Anfangsbuchstaben die logins unkenntlich gemacht)
Bei den proftpd-Prozessen stehen gültige ftp-accounts, sogar anonymous (obwohl der eigentlich gesperrt/deaktiviert ist). Allerdings scheint kein user wirklich eingeloggt zu sein, da sonst der Prozess anders dargestellt werden würde in htop? (proftpd: username - IP: Aktivität) Dennoch müssen irgendwie die usernames geleakt sein? Die IPs verweisen nach Russland und den USA, sind also definitiv nicht von mir.
Wenn ich mich per FTP verbinden, nutze ich immer eine TLS-Verbindung, da dürften die Usernamen nicht her sein.
Ich habe proftpd erst mal deaktiviert, um auf Nummer sicher zu gehen.
Server-Config:
Ubuntu 8.04.4 mit Plesk 10.3.1 und ProFTPD Version 1.3.3c
Ich habe gelesen, dass es bei 1.3.3c eine verseuchte Version gab, allerdings soll dies nicht für die Version von Plesk gelten, ebenfalls funktioniert der hack nicht, so wie hier beschrieben http://adamonsecurity.com/?p=50
Was meint ihr?
Grüße
Peter
-------------------------------
Edit: Die ftp-accounts sind nicht gültig! Sie stellen lediglich die gehosteten Domains dar. Ich habe bei jedem Usernamen noch ein secret dran. Damit handelt es sich wahrscheinlich nur um einen scan oder brute-force-Versuch? Ich finde es aber komisch, dass proftpd den Prozess nciht tötet, ich habe mich gerade selbst mal versucht falsch anzumelden und der Prozess ist immer noch gelistet (~10min)?
ich habe heute (seit längerem) mal wieder einen virtuellen Sicherheitsrundgang auf einem meiner Server gemacht und dabei ist mir etwas mit proftpd aufgefallen (siehe Bild aus dem Anhang, ich habe bis auf den Anfangsbuchstaben die logins unkenntlich gemacht)
Bei den proftpd-Prozessen stehen gültige ftp-accounts, sogar anonymous (obwohl der eigentlich gesperrt/deaktiviert ist). Allerdings scheint kein user wirklich eingeloggt zu sein, da sonst der Prozess anders dargestellt werden würde in htop? (proftpd: username - IP: Aktivität) Dennoch müssen irgendwie die usernames geleakt sein? Die IPs verweisen nach Russland und den USA, sind also definitiv nicht von mir.
Wenn ich mich per FTP verbinden, nutze ich immer eine TLS-Verbindung, da dürften die Usernamen nicht her sein.
Ich habe proftpd erst mal deaktiviert, um auf Nummer sicher zu gehen.
Server-Config:
Ubuntu 8.04.4 mit Plesk 10.3.1 und ProFTPD Version 1.3.3c
Ich habe gelesen, dass es bei 1.3.3c eine verseuchte Version gab, allerdings soll dies nicht für die Version von Plesk gelten, ebenfalls funktioniert der hack nicht, so wie hier beschrieben http://adamonsecurity.com/?p=50
Was meint ihr?
Grüße
Peter
-------------------------------
Edit: Die ftp-accounts sind nicht gültig! Sie stellen lediglich die gehosteten Domains dar. Ich habe bei jedem Usernamen noch ein secret dran. Damit handelt es sich wahrscheinlich nur um einen scan oder brute-force-Versuch? Ich finde es aber komisch, dass proftpd den Prozess nciht tötet, ich habe mich gerade selbst mal versucht falsch anzumelden und der Prozess ist immer noch gelistet (~10min)?
Attachments
Last edited by a moderator:
