Archief - De topics van lang geleden

Ftpd hack tips?

22-10-2003, 17:36 door AlterEgo, 9 reacties
Ik ben nu al meerdere malen de dupe van een of andere mafkees die gigaveel data op verschillende servers heeft gekregen (ging 25mbit overheen) en het gene wat ik aantrof was in /tmp ftpd-3x en een process ./q wat draaide... ook kwam ik een document tegen met daarin een uitdraai van "ps -aux".

Is dit bij jullie bekend en heeft iemand een idee hoe ik dit kan voorkomen? Draai altijd de laatste patches... lijkt ook of het steeds erger word dit gek*t in mijn netwerk.

Ook ben ik .xpl tegengekomen /var/tmp en waren counterstrike aan het spelen.

Iemand met tips en suggesties?

Thanks
Reacties (9)
22-10-2003, 19:17 door Anoniem
- Ga je users acc na...
- Blokeer root acces via ssh
- Kijk welke services je aanbiedt
- Draai alleen deamons en niet de init super server
- Nmap jezelf eens..
- Log all het verkeer ( en sla dit veilig op bijv email, externe
server)

- blokeer write to disk.. ( kan hardware matig )
23-10-2003, 00:57 door Anoniem
- Verander je password...
- lees logfiles door? :S

Suc6
23-10-2003, 04:03 door Anoniem
- Misschien anonymous access aan staan?
- Gebruikers niet ge-chroot in eigen dir?
- /tmp is meestal world-writeable

proftpd is erg goed naar mijn inzicht,
veel opties, waaronder chroot (DefaultRoot ~ !staff (zo makkelijk kan het zijn, iedereen behalve mensen in de groep staff in home dir ge-chroot)), eigen telnet banner instellen, kijk maar is op http://www.proftpd.org
23-10-2003, 09:21 door Hiawatha
Originally posted by Unregistered
proftpd is erg goed naar mijn inzicht,
veel opties, waaronder chroot (DefaultRoot ~ !staff (zo makkelijk kan het zijn, iedereen behalve mensen in de groep staff in home dir ge-chroot)), eigen telnet banner instellen, kijk maar is op http://www.proftpd.org [/B]

ProFTPd heeft laatst nog een grove fout gehad. Gebruik bij voorkeur [URL=http://vsftpd.beasts.org/]vsFTPd[/URL]. De meest veilige FTP server.

[offtopic]

kijk maar is op http://www.proftpd.org
En dit is heel raar Nederlands. Het is: kijk maar eens op....
[/offtopic]
23-10-2003, 10:25 door Anoniem
zucht...ik wil jou weleens zien na 3 nachten geen slaap, maarja, fout is fout :-)

vsftpd is ook betrekkelijk nieuw, draait alleen
onder inetd en heeft (nog) niet zoveel opties
als proftpd. Een juiste configuratie is natuurlijk
net zo belangrijk als de laatste versies gebruiken.
23-10-2003, 16:35 door [Account Verwijderd]
[Verwijderd]
24-10-2003, 08:38 door Anoniem
hoi alterego,

ik raad aan dat je de machine in kwestie scanned met nmap en met nessus (http://www.nessus.org).

Aan de hand van deze resultaten kan je kijken wat er aan de hand is met je server.

Verder zou ik een tooltje genaamd chkrootkit (zoals eerder aangegeven) draaien www.chkrootkit.org.

proftpd heeft een lange geschiedenis van beveiligingsgaten.
Ik ken vsftp niet, maar als je een FTPd zoekt met voldoende opties en veiligheid e.d. zou ik kijken naar pureftpd http://www.pureftpd.org


Ook ben ik .xpl tegengekomen /var/tmp en waren counterstrike aan het spelen.

Indien de aanvaller dit had geinstalleerd zou ik gaan kijken in de logbestanden van de server.


--Daan
24-10-2003, 10:55 door AlterEgo
Thanks guys, heb zeker wat nuttige info eruit kunnen halen.

Ander vraagje: Zijn er mensen die ik een dagje kan lenen die veel verstand van dit soort zaken hebben (tegen betaling)?

Neem aub even contact met me op als je een echte linux security professional bent.

Thanks!
25-10-2003, 10:24 door Anoniem
Originally posted by Hiawatha
ProFTPd heeft laatst nog een grove fout gehad. Gebruik bij voorkeur [URL=http://vsftpd.beasts.org/]vsFTPd[/URL]. De meest veilige FTP server.

De meest veilige? Wel mja, overal over'malloc'ed plekkies gebruiken en niets ondersteunen. Dan wel.

Kan vsFTPD TLS aan, ik dacht het niet, en iets zegt me dat het de eerste maanden dit nog steeds niet zal kunnen. Plus, hun home page is verre van proffesioneel.

michael
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.