Jump to content
Melde dich an, um diesem Inhalt zu folgen  

Wann Angriff = Angriff?!

Empfohlene Beiträge

Hi.

Ich habe hier bei mir sehr viele Angriffe auf FTP.

Wann ist ein Angriff nun ein Angriff.

z.B. hat sich ein User als anonym bei mir angemeldet und hat die passwd datei sich runtergezogen.

Ist das nun illegal und kann ich dagegen vorgehen?

Wie kann ich es abstellen das sich User die passwd datei saugen.

Habe Suse 7.2 und PROFtp am laufen.

Hab jetzt schon den anonym deaktiviert.. *gg*

Ich glaube dann hat sich das Prob. mit dem anonym anmelden und datei saugen erledigt.

Aber ich will ja das leute als anonym anmelden und was machen können, aber NICHT die passwd saugen.

Wie kann ich das realisieren?

Gruß

Hexdump

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Wieso Angriff? Wenn du das zulässt das jemand deine passwd liest wie willst du dann dagegen vorgehen?

Ich würde sowieso nie mehr erlauben als nötig... und die passwd zu lesen halte ich für nicht nötig. Wickle das ganze über eine vernünftige benutzerrechteverwaltung ab und du solltest damit keine Probleme haben.

Aber als Angriff würde ich das nicht werten.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hi.

Ich erlaube es ja auch nicht.

Aber das ist ein BUG bei FTP.

Wenn ich jetzt hier schreibe wie es funktioniert, dann wird der Thread gelöscht , weil das unter "HACKING" fällt.

Nur zur INFO:

Ich sperre die FTP-User ja in ihren HOME Verzeichniss ein.

Sie kommen also nicht aufs System.

Leider kann man aber über umwegen die Shadow und die passwd Datei saugen.....

MfG

Hexdump

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

updaten.

wenn nicht, würde mich die Sicherheitslücke interessieren.

Es ist recht unwahrscheinlich, dass es zu einem known Exploit noch keinen Patch gibt.

Ansonsten bitte ich um den Exploit, aber lass erst mal hören, was TschiTschi dazu sagt.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Welche passwd wurde den gezogen, /etc/passwd oder die passwd die ein Anonymous User in /etc/passwd "sieht"? In der stehen naemlich nur die Informationen, die benoetigt werden, um bei einem "ls" oder "dir" Benutzer- und Gruppennamen anzeigen und nicht nur die ids. Diese /etc/passwd liegt unterhalb der chroot-Umgebung fuer Anonymous Benutzer und sollte in keinem Fall irgendwelche Passworte enthalten oder gar eine Kopie der echten /etc/passwd sein.

Nic

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

nic bringt licht ins Dunkel <g> Sowas hab ich schon vermutet, mangels besserem Wissens aber die Klappe gehalten <g>

Aber wenn Hexdump einen Exploit kennt, der für _seinen_ Einbruch verantwortlich ist, nur her damit, das wär interessant!

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hi.

Ok nun wenn ich sagen darf wie es funzt dann gut :o)

Fakten :

- Er hat die /etc Passwd und die shadow datei gezogen

- Er hat Anonym benutzt

Die Info dazu habe ich von www.why-online.de

Leider ist die Page zur zeit Down wegen Restart und Umbauten.

Funktionsweise:

Man meldet sich per FTP mit:

User : anonymus

Pass : Irgendeine mail adresse

an.

Dann gibt man :

get /etc/passwd

get /etc/shadow (keine ahnung wo genau die jetzt liegt )

Funktioniert dies nicht nutzt man sich nen Bug über den IE aus .

Es ist eine bestimmte adresse un die IP des Rechners (stand auch auf Why-Online, wie gesagt leider down. später nachschauen).

Dieser Bug funktioniert auf jeden Fall.

So bekommt man die Dateien.

Nun benutzt man ein Tool zum entcrypten (Wurde auch gleich mit angeboten) und entschlüsselt die Dateien.

Und Worla willkommen im Reich meines Rechners.

MfG

Hexdump

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Original geschrieben von FunkyBeat

Was hälst du von nic_powers Theorie?

Hi.

Weiss nicht was ich dazu sagen soll, dazu habe ich zu wenig Ahnung von den beiden Dateien.

Ich weiss nur , das ich die beiden Dateien entcryptet habe und somit auch das PW und den User herauslesen konnte.

Es ist ja keine Sicherheitslücke oder BUG in IE sonderm im FTP.

MfG

Hexdump

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

helmle@gentoo helmle $ lukemftp localhost

Connected to localhost.

220 ProFTPD 1.2.5 Server (ProFTPD Default Installation) [gentoo.local]

Name (localhost:helmle): anonymous

331 Anonymous login ok, send your complete email address as your password.

Password:

230 Anonymous access granted, restrictions apply.

Remote system type is UNIX.

Using binary mode to transfer files.

ftp> get /etc/passwd

local: /etc/passwd remote: /etc/passwd

lukemftp: local: /etc/passwd: Permission denied

ftp> bye

221 Goodbye.

bei mir geht's nicht. Wie sieht Deine proftp.conf aus?

@nic_power: eine etc/passwd oder etc/groups brauchts bei proftp nicht. sieht schwer danach aus, als wäre das nur bei wuftp nötig...

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Original geschrieben von FunkyBeat

helmle@gentoo helmle $ lukemftp localhost

Connected to localhost.

220 ProFTPD 1.2.5 Server (ProFTPD Default Installation) [gentoo.local]

Name (localhost:helmle): anonymous

331 Anonymous login ok, send your complete email address as your password.

Password:

230 Anonymous access granted, restrictions apply.

Remote system type is UNIX.

Using binary mode to transfer files.

ftp> get /etc/passwd

local: /etc/passwd remote: /etc/passwd

lukemftp: local: /etc/passwd: Permission denied

ftp> bye

221 Goodbye.

bei mir geht's nicht. Wie sieht Deine proftp.conf aus?

@nic_power: eine etc/passwd oder etc/groups brauchts bei proftp nicht. sieht schwer danach aus, als wäre das nur bei wuftp nötig...

Wuftp benoetigt diese Datei ebenfalls nicht. Nur dann wenn due Benutzer- und Gruppennamen anstelle der uid und gid beim Anonymous ftp sehen moechtest, kannst Du eine entsprechende /etc/passwd anlegen (ueblicherweise unter ~ftp/etc). Auf keinen Fall solltest Du die echte /etc/passwd kopieren. Ich gehe mal davon aus, dass auch proftpd in einer chroot-Umgebung laeuft, d.h. der "Angreifer" uebertraegt nicht die globale /etc/passwd.

Nic

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Nimm an der Diskussion teil

Du kannst jetzt hier posten und Dich später registrieren. Wenn Du bereits über eine Konto verfügst, melde Dich jetzt an, um mit Deinem Konto zu posten.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Clear editor

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Melde dich an, um diesem Inhalt zu folgen  

Fachinformatiker.de, 2020 SE Internet Services

fidelogo_small.png

if_icon-6-mail-envelope-closed_314900.pnSchicken Sie uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App


Get it on Google Play

Kontakt

Hier werben?
Oder senden Sie eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...

Wichtige Information

Fachinformatiker.de verwendet Cookies. Mehr dazu in unserer Datenschutzerklärung