Hallo Experten,

heute nacht hat sich jemand an meinem PROFTP Server zu schaffen gemacht. Ich habe in der Logdatei /var/log/messages folgendes gefunden:

Jul 25 22:36:49 datentransfer proftpd[13761]: datentransfer (62.158.229.138[62.158.229.138]) - FTP session opened.
Jul 25 22:37:11 datentransfer proftpd[13762]: datentransfer (62.158.229.138[62.158.229.138]) - FTP session opened.
Jul 25 22:38:02 datentransfer kernel: conntrack_ftp: partial PORT 142547850+1
Jul 25 22:38:02 datentransfer kernel: conntrack_ftp: partial PORT 142547850+2
Jul 25 22:38:03 datentransfer kernel: conntrack_ftp: partial PORT 142547850+5
Jul 25 22:38:05 datentransfer kernel: conntrack_ftp: partial PORT 142547850+11

Weiß jemand was das mit dem conntrack_ftp auf sich hat?? Ich bin wirklich für jeden Hinweis dankbar.

In der Logdatei proftp.paranoid steht folgendes:
62.158.229.138 UNKNOWN nobody [25/Jul/2002:22:37:21 +0200] " HELP " 214 -
62.158.229.138 UNKNOWN nobody [25/Jul/2002:22:37:31 +0200] " REIN " 502 -
62.158.229.138 UNKNOWN nobody [25/Jul/2002:22:37:35 +0200] " RMD " - -
62.158.229.138 UNKNOWN nobody [25/Jul/2002:22:37:39 +0200] " NOOP " 200 -
62.158.229.138 UNKNOWN nobody [25/Jul/2002:22:37:45 +0200] " XPWD " - -
62.158.229.138 UNKNOWN nobody [25/Jul/2002:22:37:49 +0200] " MODE " - -
62.158.229.138 UNKNOWN nobody [25/Jul/2002:22:37:54 +0200] " STAT " - -
62.158.229.138 UNKNOWN nobody [25/Jul/2002:22:37:59 +0200] " SYST " - -
62.158.229.138 UNKNOWN nobody [25/Jul/2002:22:38:08 +0200] " PORT 3456" - -
62.158.229.138 UNKNOWN nobody [25/Jul/2002:22:38:14 +0200] " NLST " - -
62.158.229.138 UNKNOWN nobody [25/Jul/2002:22:39:54 +0200] " USER " 500 -
62.158.229.138 UNKNOWN nobody [25/Jul/2002:22:40:01 +0200] " USER root" 331 -
62.158.229.138 UNKNOWN nobody [25/Jul/2002:22:40:10 +0200] " PASS (hidden)" 530 -
62.158.229.138 UNKNOWN nobody [25/Jul/2002:22:40:13 +0200] " HELP " 214 -
62.158.229.138 UNKNOWN nobody [25/Jul/2002:22:40:17 +0200] " STOR " - -
62.158.229.138 UNKNOWN nobody [25/Jul/2002:22:40:21 +0200] " LIST " - -
62.158.229.138 UNKNOWN nobody [25/Jul/2002:22:40:24 +0200] " MDTM " - -
62.158.229.138 UNKNOWN nobody [25/Jul/2002:22:40:32 +0200] " STOU " - -
62.158.229.138 UNKNOWN nobody [25/Jul/2002:22:40:36 +0200] " NOOP " 200 -
62.158.229.138 UNKNOWN nobody [25/Jul/2002:22:40:41 +0200] " ABOR " - -
62.158.229.138 UNKNOWN nobody [25/Jul/2002:22:40:45 +0200] " RNTO " - -
62.158.229.138 UNKNOWN nobody [25/Jul/2002:22:40:51 +0200] " STRU " - -
62.158.229.138 UNKNOWN nobody [25/Jul/2002:22:40:54 +0200] " NOOP " 200 -
62.158.229.138 UNKNOWN nobody [25/Jul/2002:22:41:12 +0200] " NOOP " 200 -
62.158.229.138 UNKNOWN nobody [25/Jul/2002:22:41:15 +0200] " NOOP " 200 -
62.158.229.138 UNKNOWN nobody [25/Jul/2002:22:41:17 +0200] " NOOP " 200 -
62.158.229.138 UNKNOWN nobody [25/Jul/2002:22:41:19 +0200] " NOOP " 200 -
62.158.229.138 UNKNOWN nobody [25/Jul/2002:22:41:20 +0200] " NOOP " 200 -
62.158.229.138 UNKNOWN nobody [25/Jul/2002:22:41:23 +0200] " NOOP " 200 -


/var/log/proftpd/proftpd.access_log
FTP [13762] 62.158.229.138 [25/Jul/2002:22:37:31 +0200] "REIN " 502
FTP [13763] 62.158.229.138 [25/Jul/2002:22:39:54 +0200] "USER " 500
FTP [13763] 62.158.229.138 [25/Jul/2002:22:40:01 +0200] "USER root" 331
FTP [13763] 62.158.229.138 [25/Jul/2002:22:40:10 +0200] "PASS (hidden)" 530


Das größte Rätsel ist für mich, der Eintrag mit dem conntrack_ftp

conntrack_ftp ermöglicht den ftp-Transfer (ist ein iptables-Modul glaube ich).

seit wann läßt denn proftpd root zugriff zu?

wenn was passiert sein sollte, einfach ne Mail an abuse@t-online mit Logfile und Beschreibung schicken! http://www.ripe.net/perl/whois

der root zugriff wurde doch abgewiesen, oder seh ich das falsch

also ich kenne mich mit dem FTP Protokoll auch nicht sooo gut aus, aber das sieht mir nicht noch access denied aus.

62.158.229.138 UNKNOWN nobody [25/Jul/2002:22:39:54 +0200] " USER " 500 -
62.158.229.138 UNKNOWN nobody [25/Jul/2002:22:40:01 +0200] " USER root" 331 -
62.158.229.138 UNKNOWN nobody [25/Jul/2002:22:40:10 +0200] " PASS (hidden)" 530 -
62.158.229.138 UNKNOWN nobody [25/Jul/2002:22:40:13 +0200] " HELP " 214 -
62.158.229.138 UNKNOWN nobody [25/Jul/2002:22:40:17 +0200] " STOR " - -
62.158.229.138 UNKNOWN nobody [25/Jul/2002:22:40:21 +0200] " LIST " - -

hallo boxa,

du solltest dir mal dringend 2 Sachen anschauen:

1. /etc/ftpusers -> dort stehen die user drin die sich nicht beim ftp-server einloggen können.

2. schau dir mal chkrootkit an. Das installierst du dir auf deinem Rechner. So kannst du gucken, ob dir jemand nen rootkit eingeschleust hat.

3. als allererstes sofort das root-passwort ändern. Und schön dran denken, daß man eines mit mind. 6 Zeichen nimmt, daß nicht im Wörterbuch steht. ;)

Gruß,
Marko

@DerLipper[TuX]

Erstmal Danke für die Hinweise.

In /etc/ftpusers steht root schon immer drin

chkrootkit hat nichts gefunden. Ich habe das Programm ohne Parameter, also mit ./chrkrootkit ausgeführt.

das passwort ist geändert. Fällt dir noch was ein?? Ich versteh das überhaupt nicht. root war von Anfang an für FTP gesperrt.

Gruß

boxa

ROOTDIR is `/'
Checking `amd'... not found
Checking `basename'... not infected
Checking `biff'... not found
Checking `chfn'... not infected
Checking `chsh'... not infected
Checking `cron'... not infected
Checking `date'... not infected
Checking `du'... not infected
Checking `dirname'... not infected
Checking `echo'... not infected
Checking `egrep'... not infected
Checking `env'... not infected
Checking `find'... not infected
Checking `fingerd'... not found
Checking `gpm'... not infected
Checking `grep'... not infected
Checking `hdparm'... not infected
Checking `su'... not infected
Checking `ifconfig'... not infected
Checking `inetd'... not infected
Checking `inetdconf'... not found
Checking `identd'... not found
Checking `killall'... not infected
Checking `ldsopreload'... not infected
Checking `login'... not infected
Checking `ls'... not infected
Checking `lsof'... not found
Checking `mail'... not infected
Checking `mingetty'... not infected
Checking `netstat'... not infected
Checking `named'... not found
Checking `passwd'... not infected
Checking `pidof'... not infected
Checking `pop2'... not found
Checking `pop3'... not found
Checking `ps'... not infected
Checking `pstree'... not infected
Checking `rpcinfo'... not infected
Checking `rlogind'... not found
Checking `rshd'... not found
Checking `slogin'... not infected
Checking `sendmail'... not infected
Checking `sshd'... not infected
Checking `syslogd'... not infected
Checking `tar'... not infected
Checking `tcpd'... not infected
Checking `top'... not infected
Checking `telnetd'... not found
Checking `timed'... not found
Checking `traceroute'... not infected
Checking `w'... not infected
Checking `write'... not infected
Checking `aliens'... no suspect files
Searching for sniffer's logs, it may take a while... nothing found
Searching for HiDrootkit's default dir... nothing found
Searching for t0rn's default files and dirs... nothing found
Searching for t0rn's v8 defaults... nothing found
Searching for Lion Worm default files and dirs... nothing found
Searching for RSHA's default files and dir... nothing found
Searching for RH-Sharpe's default files... nothing found
Searching for Ambient's rootkit (ark) default files and dirs... nothing found
Searching for suspicious files and dirs, it may take a while...
/usr/lib/perl5/5.6.0/i386-linux/.packlist /usr/lib/perl5/site_perl/5.6.0/i386-linux/auto/Net/SSLeay/.packlist

Searching for LPD Worm files and dirs... nothing found
Searching for Ramen Worm files and dirs... nothing found
Searching for Maniac files and dirs... nothing found
Searching for RK17 files and dirs... nothing found
Searching for Ducoci rootkit... nothing found
Searching for Adore Worm... nothing found
Searching for ShitC Worm... nothing found
Searching for Omega Worm... nothing found
Searching for Sadmind/IIS Worm... nothing found
Searching for MonKit... nothing found
Searching for Showtee... nothing found
Searching for OpticKit... nothing found
Searching for T.R.K... nothing found
Searching for Mithra... nothing found
Searching for anomalies in shell history files... nothing found
Checking `asp'... not infected
Checking `bindshell'... not infected
Checking `lkm'... nothing detected
Checking `rexedcs'... not found
Checking `sniffer'...
eth0 is not promisc
eth1 is not promisc
Checking `wted'... nothing deleted
Checking `z2'...
nothing deleted

Ich habe bereits selbst versucht, mich als root beim ftp server anzumelden. es geht aber definitiv nicht. warum sollte es hier funktioniert haben??
Weiß da jemand was?

62.158.229.138 UNKNOWN nobody [25/Jul/2002:22:39:54 +0200] " USER " 500 -
62.158.229.138 UNKNOWN nobody [25/Jul/2002:22:40:01 +0200] " USER root" 331 -
62.158.229.138 UNKNOWN nobody [25/Jul/2002:22:40:10 +0200] " PASS (hidden)" 530 -
62.158.229.138 UNKNOWN nobody [25/Jul/2002:22:40:13 +0200] " HELP " 214 -
62.158.229.138 UNKNOWN nobody [25/Jul/2002:22:40:17 +0200] " STOR " - -
62.158.229.138 UNKNOWN nobody [25/Jul/2002:22:40:21 +0200] " LIST " - -

also die /etc/ftpusers stört proftpd eigentlich nicht...

vieleicht hat jemand einen exploits benutzt den man im logfile nicht erkennt...

Hast du die aktuelle proftpd version?

ich habe die Version proftpd-1.2.5rc1-1

Was ich auch äußerst seltsam finde ist das die Befehle, die in der Logdatei auftauchen von Proftpd gar nicht unterstützt werden.
LIST,XPWD,MODE,RNTO

Allerdings weiß ich dann auch nicht wrum in der Logdatei keine Fehlernummer bei diesen Befehlen steht sondern nur ein "-"

kann dir jetzt bei deinem problem nicht direkt weiterhelfen,
allerdings empfehl ich dir installier doch tripwire. bringt allerdings nichts wenn dein system schon corrupt ist.
cheers tim

manchmal ist das leben hart. den server habe ich gestern aufgesetzt und heute wollte ich tripwire installieren. jetzt ist es vielleicht zu spät.

Keine Panik. Hatte ich auch schon öffter.
Da hat wohl jemand versucht reinzukommen, hat es aber offensichtlich nicht geschafft, denn
...0200] " PASS (hidden)" 530 -
bedeutet soviel wie "incorrect login (530)"

Das HELP oder NOOP kann man auch ohne Anmeldung auf jedem FTP-Server ausführen. Das ist so. Dumm ich weiß. Kann aber im Normalfall keinen Schaden anrichten.

alle anderen Kommandos kann man ohne Anmeldung nicht ausführen, und manche davon sind auch keine FTP-Kommandos.

auch wenn du root den login sperrst, was ja unbedingt sein sollte, wird trotzdem auch für root noch nach einem passwort gefragt, aber danach bricht die anmeldung ab. das ist normalerweise zur sicherheit so, damit niemand gleich rausfinden kann, welche benutzernamen sowieso gesperrt sind.