Jump to content

W2k Server FTP angriffe


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

hallo

 

ich habe hier ein kleineres problem mit erfolgreichen logins von benutzern die eigentlich nie eingerichtet wurden.das ganze erfolgt via IIS auf FTP.der angreifer versucht anfangs standard benutzernamen zu knacken und im anschluss schafft er es sich mit einem nicht existierenden benutzernamen tatsaechlich zu verbinden!das FTP log zeigt hierbei weiterhin 530(ben/pass falsch) obwohl der user als aktive verbindung angezeigt wird und ebenso ein transfer besteht.ich kann mir das nicht ganz erklaeren vielleicht kennt ihr dieses problem beim IIS 5?

 

ist das ein bekanntes sicherheits loch?updates konnte ich nicht finden?

 

falls die frage kommen sollte...ein gastkonto ist nicht vorhanden etc.der FTP laesst keine anonuemen verbindungen zu.

 

vielen dank fuer die hilfe im voraus

Link zu diesem Kommentar

@snoopy

 

hier mal ein sehr kleiner auszug.

 

#Software: Microsoft Internet Information Services 5.0

#Version: 1.0

#Date: 2010-02-19 23:00:00

#Fields: date time c-ip cs-username s-sitename s-computername s-ip s-port cs-method cs-uri-stem cs-uri-query sc-status sc-win32-status sc-bytes cs-bytes time-taken cs-version cs-host cs(User-Agent) cs(Cookie) cs(Referer)

2010-02-19 23:00:00 60.217.229.220 administrator MSFTPSVC1 DATACENTER 192.168.111.222 21 [77]USER administrator - 331 0 0 0 0 FTP - - - -

2010-02-19 23:00:00 60.217.229.220 - MSFTPSVC1 DATACENTER 192.168.111.222 21 [77]PASS - - 530 1326 0 0 0 FTP - - - -

2010-02-19 23:00:00 60.217.229.220 administrator MSFTPSVC1 DATACENTER 192.168.111.222 21 [77]USER administrator - 331 0 0 0 0 FTP - - - -

2010-02-19 23:00:01 60.217.229.220 - MSFTPSVC1 DATACENTER 192.168.111.222 21 [77]PASS - - 530 1326 0 0 0 FTP - - - -

2010-02-19 23:00:01 60.217.229.220 administrator MSFTPSVC1 DATACENTER 192.168.111.222 21 [77]USER administrator - 331 0 0 0 0 FTP - - - -

2010-02-19 23:00:01 60.217.229.220 - MSFTPSVC1 DATACENTER 192.168.111.222 21 [77]PASS - - 530 1326 0 0 0 FTP - - - -

2010-02-19 23:00:03 60.217.229.220 administrator MSFTPSVC1 DATACENTER 192.168.111.222 21 [77]USER administrator - 331 0 0 0 0 FTP - - - -

2010-02-19 23:00:03 60.217.229.220 - MSFTPSVC1 DATACENTER 192.168.111.222 21 [77]PASS - - 530 1326 0 0 0 FTP - - - -

2010-02-19 23:00:03 60.217.229.220 administrator MSFTPSVC1 DATACENTER 192.168.111.222 21 [77]USER administrator - 331 0 0 0 0 FTP - - - -

2010-02-19 23:00:04 60.217.229.220 - MSFTPSVC1 DATACENTER 192.168.111.222 21 [77]PASS - - 530 1326 0 0 0 FTP - - - -

2010-02-19 23:00:04 60.217.229.220 administrator MSFTPSVC1 DATACENTER 192.168.111.222 21 [77]USER administrator - 331 0 0 0 0 FTP - - - -

2010-02-19 23:00:04 60.217.229.220 - MSFTPSVC1 DATACENTER 192.168.111.222 21 [77]PASS - - 530 1326 0 0 0 FTP - - - -

2010-02-19 23:00:05 60.217.229.220 administrator MSFTPSVC1 DATACENTER 192.168.111.222 21 [77]USER administrator - 331 0 0 0 0 FTP - - - -

 

XXX

 

2010-02-21 21:35:05 60.217.229.228 info MSFTPSVC1 DATACENTER 192.168.111.222 21 [85]USER info - 331 0 0 0 0 FTP - - - -

2010-02-21 21:35:05 60.217.229.228 - MSFTPSVC1 DATACENTER 192.168.111.222 21 [85]PASS - - 530 1326 0 0 0 FTP - - - -

2010-02-21 21:35:07 60.217.229.228 info MSFTPSVC1 DATACENTER 192.168.111.222 21 [85]USER info - 331 0 0 0 0 FTP - - - -

2010-02-21 21:35:07 60.217.229.228 - MSFTPSVC1 DATACENTER 192.168.111.222 21 [85]PASS - - 530 1326 0 0 0 FTP - - - -

2010-02-21 21:35:07 60.217.229.228 info MSFTPSVC1 DATACENTER 192.168.111.222 21 [85]USER info - 331 0 0 0 0 FTP - - - -

2010-02-21 21:35:08 60.217.229.228 - MSFTPSVC1 DATACENTER 192.168.111.222 21 [85]PASS - - 530 1326 0 0 0 FTP - - - -

2010-02-21 21:35:08 60.217.229.228 info MSFTPSVC1 DATACENTER 192.168.111.222 21 [85]USER info - 331 0 0 0 0 FTP - - - -

 

danach hatte der user eine session mit dem user "info" als ich diesen rausgeworfen hatte, hatte der user eine session mit KEINEM usernamen?!?

 

ereignisanzeige zeigt hierbei nur fehlerhafte anmeldungen.

 

ps:gibt es eine möglichkeit user automatisch via ip zu sperren wenn mehrere fehlanmeldungen vorhanden sind?so wie die lokalen anmeldungen?

Link zu diesem Kommentar

nachtrag->

 

warum steht eigentlich immer ein "pass" oder "user" hinter der (85)??

 

der user "info" existiert nicht auf dieser maschine!

 

2010-02-21 21:35:08 60.217.229.228 - MSFTPSVC1 DATACENTER 192.168.111.222 21 [85]PASS - - 530 1326 0 0 0 FTP - - - -

2010-02-21 21:35:08 60.217.229.228 info MSFTPSVC1 DATACENTER 192.168.111.222 21 [85]USER info - 331 0 0 0 0 FTP - - - -

Link zu diesem Kommentar
warum sollte ich einen 2000-server nicht ans internet hängen.sicherlich ist das keine gute wahl...

 

oder wollt ihr mir nun sagen das microsoft generell nicht in der lage ist einen funktionierenden ftp server bereit zu stellen?

 

Ich denke eher dass du generell nicht in der Lage bist die Folgen deines handelns abschätzen zu können....

 

Den FTP Server hat Microsoft im griff und stellt da eine sehr gute Lössung bereit. Nur für die Leute die ihn dann adminsitrieren und betreiben kann Microsoft nicht verantwortlich sein.

 

Vielleicht solltest du so etwas von einem Dienstleister ausführen lassen der sich damit auskennt ...

Link zu diesem Kommentar

herr dr. melzer..

 

sagen wir mal dieser rechner sei ein honeypot und soll nichts anderes darstellen.die daten darauf sind generell nicht wichtig.

 

was sie denken spielt ja hier fuer mich keine grosse rolle aber was sie wissen waere von interesse.

wie wuerden sie verfahren wenn sie gezwungen sein wuerden einen w2k server fuer ftp zu nutzen und sie stellen fest das es sich so wie schon erklaert verhaelt?ein paar anmachen vom stapel zu lassen ist doch hier nicht angebracht oder wie sehen sie das?sie sind doch auch nicht als dr. vom himmel gefallen oder vielleicht doch...

 

XP-FAN

ja ich dachte der support fuer w2k sei erst 13. Juli 2010. vorbei.ich werde testweise eine w2k3 als vm testen...

aber es ging einfach nur darum nach dem fehler zu suchen....

um etwas zu lernen koennte man sagen

Link zu diesem Kommentar

sagen wir mal dieser rechner sei ein honeypot und soll nichts anderes darstellen.

 

Na das ist doch klasse. Dann erfüllt er seinen Zweck und wird angegeriffen.

 

Somit past alles und der Thread kan geschlossen werden weil es kein Problem mehr gibt (Die Angriffe erfolgen auf einem Honeypot für was er ja gedacht ist).

 

Vielen dank für dein verständnis.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!
Gast
Dieses Thema wurde für weitere Antworten geschlossen.
×
×
  • Neu erstellen...