FTP Scanners
Luca Giuzzi
giuzzi a dmf.bs.unicatt.it
Mar 24 Apr 2001 14:05:07 UTC
On Tue, Apr 24, 2001 at 03:47:58PM +0200, Oliviero Maestrelli wrote:
>
> Ho scovato in questi giorni nei file di log del mio serverino due differenti
> connessioni al ftp anonimo da parte di alcuni signori che da due differenti
> indirizzi 62.178.16.116 e 212.204.150.226 (il primo non risponde) hanno
> provato alcune operazioni che non mi sono risultate molto chiare: cd su
> directory inesistenti, creazione di directory (a quanto mi sembra fallite
> perchè non permesse dalla configurazione dell' anonftp-2.8).
Bhe... gli indirizzi paiono essere entrambi dial-up...
non che questo dica molto, ma bisogna risalire al provider per tracciarli
> Qui di seguito il log prodotto in /var/log/messages:
>
> Apr 21 08:46:05 LinuxServer ftpd[27080]: PASS guest a here.com
Ok... risposta standard...
> Apr 21 08:46:05 LinuxServer ftpd[27080]: FTP LOGIN FROM
> cc38016-b.deven1.ov.nl.home.com [212.204.150.226], ftp
> Apr 21 08:46:06 LinuxServer ftpd[27080]: CWD /pub/
> Apr 21 08:46:08 LinuxServer ftpd[27080]: MKD 010421083720p
> Apr 21 08:46:08 LinuxServer ftpd[27080]: ftp of
> cc38016-b.deven1.ov.nl.home.com [212.204.150.226] tried to create directory
> /home/ftp/pub/010421083720p (permissions)
> Apr 21 08:46:11 LinuxServer ftpd[27080]: CWD /public/
> Apr 21 08:46:15 LinuxServer ftpd[27080]: CWD /pub/incoming/
> Apr 21 08:46:20 LinuxServer ftpd[27080]: CWD /incoming/
> Apr 21 08:46:26 LinuxServer ftpd[27080]: CWD /_vti_pvt/
> Apr 21 08:46:33 LinuxServer ftpd[27080]: CWD /
> Apr 21 08:46:40 LinuxServer ftpd[27080]: MKD 010421083748p
> Apr 21 08:46:40 LinuxServer ftpd[27080]: ftp of
> cc38016-b.deven1.ov.nl.home.com [212.204.150.226] tried to create directory
> /home/ftp/010421083748p (permissions)
> Apr 21 08:46:44 LinuxServer ftpd[27080]: CWD /upload/
> Apr 21 08:46:48 LinuxServer ftpd[27080]: CWD /drop box
> Apr 21 08:46:52 LinuxServer ftpd[27080]: CWD /dropbox
> Apr 21 08:46:55 LinuxServer ftpd[27080]: CWD /www
> Apr 21 08:46:58 LinuxServer ftpd[27080]: CWD /incoming/dropbox
> Apr 21 08:47:04 LinuxServer ftpd[27080]: CWD /temp
> Apr 21 08:47:12 LinuxServer ftpd[27080]: CWD /temporary
> Apr 21 08:47:18 LinuxServer ftpd[27080]: FTP session closed
Hanno tentato di creare e di entrare in
delle directory dove immagazzinare files...
non hanno provato a sfondarti il server (bene) ma solo a metterci roba
eventualmente da passare ad altri...
>
> Il file xferlog non riporta traccia di alcuna transazione avvenuta.
> Siccome la cosa non mi è sembrata cristallina ho fatto qualche indagine e ho
> scoperto che all'indirizzo riportato c'è un sito che presenta una sezione
> dedicata al FTP Scanning.
Le transazioni non sono avvenute, bene...
> Come prima cosa, appena mi sono fatto l'idea, visto che il servizio era
> utile ma non indispensabile, ho fatto chiudere la porta nel firewall.
Forse qeusto e' un po' eccessivo... come ho detto sopra: non hanno tentato
di sfondare il server, ma solo di approfittarne... non che sia una bella
cosa, intendiamoci... una soluzione migliore (forse) sarebbe potuta
essere il disattivare il servizio anonymous ftp dalla tua macchina...
> Innanzitutto mi piacerebbe che qualcuno mi dicesse se il mio è solo un
> attacco di paranoia (essendo non proprio navigato su queste cose...).
Paranoico e' chi teme che la gente tenti di approfittare dei suoi
computers.,.. io ne sono sicuro!
> Allora, se la risposta alla mia precedente domanda è negativa, vorrei capire
> se, secondo chi ne può sapere più di me, dato che l'attività fatta mi sembra
> non aver avuto effetti:
> - posso stare tranquillo che non siano state fatte porcate;
relativamente tranquillo... il pezzo di log che hai mandato non suggerisce
che abbiano compromesso il tuo sistema... ovviamente questo non
garantisce che non l'abbiano fatto da qualche altra parte e/o nascosto
meglio
> - è meglio che faccia qualche altra analisi della mia macchina;
Male questo non fa... pero' io dormirei abbastanza tranquillamente se nessuna
delle dir sopra menzionate esiste sul tuo computer...
> - a che scopo fare scanning degli FTP (purtoppo qualche idea ce l'ho);
Temo che la risposta tu la conosca gia'... comunque ci sono 3 possibilita'
1. sfruttare vulnerabilita' dell'ftpd per ottenere una login di root
sulla macchina;
2. utilizzare il computer come `deposito' di files;
3. sfruttare il fatto che ftp distingue fra canale di controllo e canale
dati (quando in modalita' "attiva") per effettuare dei DDOS.
[i.e. il protocollo ftp ti consente di comandare da un computer A di
trasferire un file da B a C]
> Ciao e grazie,
> Oliviero.
Ciao,
lg
--
Maggiori informazioni sulla lista
Lug
|
