W2k Server FTP angriffe

[michael baum]

hallo

ich habe hier ein kleineres problem mit erfolgreichen logins von benutzern die eigentlich nie eingerichtet wurden.das ganze erfolgt via IIS auf FTP.der angreifer versucht anfangs standard benutzernamen zu knacken und im anschluss schafft er es sich mit einem nicht existierenden benutzernamen tatsaechlich zu verbinden!das FTP log zeigt hierbei weiterhin 530(ben/pass falsch) obwohl der user als aktive verbindung angezeigt wird und ebenso ein transfer besteht.ich kann mir das nicht ganz erklaeren vielleicht kennt ihr dieses problem beim IIS 5?

ist das ein bekanntes sicherheits loch?updates konnte ich nicht finden?

falls die frage kommen sollte...ein gastkonto ist nicht vorhanden etc.der FTP laesst keine anonuemen verbindungen zu.

vielen dank fuer die hilfe im voraus

[StefanWe]

kannst du mal die Logs hier reinstellen ?

[michael baum]

@snoopy

hier mal ein sehr kleiner auszug.


#Software: Microsoft Internet Information Services 5.0
#Version: 1.0
#Date: 2010-02-19 23:00:00
#Fields: date time c-ip cs-username s-sitename s-computername s-ip s-port cs-method cs-uri-stem cs-uri-query sc-status sc-win32-status sc-bytes cs-bytes time-taken cs-version cs-host cs(User-Agent) cs(Cookie) cs(Referer)
2010-02-19 23:00:00 60.217.229.220 administrator MSFTPSVC1 DATACENTER 192.168.111.222 21 [77]USER administrator - 331 0 0 0 0 FTP - - - -
2010-02-19 23:00:00 60.217.229.220 - MSFTPSVC1 DATACENTER 192.168.111.222 21 [77]PASS - - 530 1326 0 0 0 FTP - - - -
2010-02-19 23:00:00 60.217.229.220 administrator MSFTPSVC1 DATACENTER 192.168.111.222 21 [77]USER administrator - 331 0 0 0 0 FTP - - - -
2010-02-19 23:00:01 60.217.229.220 - MSFTPSVC1 DATACENTER 192.168.111.222 21 [77]PASS - - 530 1326 0 0 0 FTP - - - -
2010-02-19 23:00:01 60.217.229.220 administrator MSFTPSVC1 DATACENTER 192.168.111.222 21 [77]USER administrator - 331 0 0 0 0 FTP - - - -
2010-02-19 23:00:01 60.217.229.220 - MSFTPSVC1 DATACENTER 192.168.111.222 21 [77]PASS - - 530 1326 0 0 0 FTP - - - -
2010-02-19 23:00:03 60.217.229.220 administrator MSFTPSVC1 DATACENTER 192.168.111.222 21 [77]USER administrator - 331 0 0 0 0 FTP - - - -
2010-02-19 23:00:03 60.217.229.220 - MSFTPSVC1 DATACENTER 192.168.111.222 21 [77]PASS - - 530 1326 0 0 0 FTP - - - -
2010-02-19 23:00:03 60.217.229.220 administrator MSFTPSVC1 DATACENTER 192.168.111.222 21 [77]USER administrator - 331 0 0 0 0 FTP - - - -
2010-02-19 23:00:04 60.217.229.220 - MSFTPSVC1 DATACENTER 192.168.111.222 21 [77]PASS - - 530 1326 0 0 0 FTP - - - -
2010-02-19 23:00:04 60.217.229.220 administrator MSFTPSVC1 DATACENTER 192.168.111.222 21 [77]USER administrator - 331 0 0 0 0 FTP - - - -
2010-02-19 23:00:04 60.217.229.220 - MSFTPSVC1 DATACENTER 192.168.111.222 21 [77]PASS - - 530 1326 0 0 0 FTP - - - -
2010-02-19 23:00:05 60.217.229.220 administrator MSFTPSVC1 DATACENTER 192.168.111.222 21 [77]USER administrator - 331 0 0 0 0 FTP - - - -

XXX

2010-02-21 21:35:05 60.217.229.228 info MSFTPSVC1 DATACENTER 192.168.111.222 21 [85]USER info - 331 0 0 0 0 FTP - - - -
2010-02-21 21:35:05 60.217.229.228 - MSFTPSVC1 DATACENTER 192.168.111.222 21 [85]PASS - - 530 1326 0 0 0 FTP - - - -
2010-02-21 21:35:07 60.217.229.228 info MSFTPSVC1 DATACENTER 192.168.111.222 21 [85]USER info - 331 0 0 0 0 FTP - - - -
2010-02-21 21:35:07 60.217.229.228 - MSFTPSVC1 DATACENTER 192.168.111.222 21 [85]PASS - - 530 1326 0 0 0 FTP - - - -
2010-02-21 21:35:07 60.217.229.228 info MSFTPSVC1 DATACENTER 192.168.111.222 21 [85]USER info - 331 0 0 0 0 FTP - - - -
2010-02-21 21:35:08 60.217.229.228 - MSFTPSVC1 DATACENTER 192.168.111.222 21 [85]PASS - - 530 1326 0 0 0 FTP - - - -
2010-02-21 21:35:08 60.217.229.228 info MSFTPSVC1 DATACENTER 192.168.111.222 21 [85]USER info - 331 0 0 0 0 FTP - - - -

danach hatte der user eine session mit dem user "info" als ich diesen rausgeworfen hatte, hatte der user eine session mit KEINEM usernamen?!?

ereignisanzeige zeigt hierbei nur fehlerhafte anmeldungen.

ps:gibt es eine möglichkeit user automatisch via ip zu sperren wenn mehrere fehlanmeldungen vorhanden sind?so wie die lokalen anmeldungen?

[michael baum]

nachtrag->

warum steht eigentlich immer ein "pass" oder "user" hinter der (85)??

der user "info" existiert nicht auf dieser maschine!

2010-02-21 21:35:08 60.217.229.228 - MSFTPSVC1 DATACENTER 192.168.111.222 21 [85]PASS - - 530 1326 0 0 0 FTP - - - -
2010-02-21 21:35:08 60.217.229.228 info MSFTPSVC1 DATACENTER 192.168.111.222 21 [85]USER info - 331 0 0 0 0 FTP - - - -

[Dr.Melzer]

Steht der Server direkt im Internet oder ist da eine firewall dazwischen?

[michael baum]

sorry nachtrag nr. 2

# 331 User name okay, need password. (Benutzername OK, Kennwort erforderlich)
# 332 Need account for login. (Benutzerkonto zur Anmeldung erforderlich)

wobei ich herausfinden konnte das ein 331 auch ein 332 sein soll?!?

wie schon gesagt gibt es den user "info" nicht warum kann dieser dann einen 331 bekommen?

[michael baum]

firewall dazwischen! ausschließlich port 21 ist offen

[michael baum]

keiner hat eine idee wonach ich suchen könnte um den fehler zu finden?

->gibt es eine möglichkeit fehlanmeldungen auf IIS 5 so zu konfigurieren das nach x fehlanmeldungen der user via ip komplett ausgeschlossen wird?oder vielleicht eine andere idee?

[zahni]

No, das ist nicht die Aufgabe eines Web- oder FTP-Servers.

Außerdem solltest Du einen Windows 2000-Server nicht ans Internet hängen.

-Zahni

[michael baum]

warum sollte ich einen 2000-server nicht ans internet hängen.sicherlich ist das keine gute wahl...

allerdings denke ich nicht das 2003 oder 2008 viel besser sein wird oder sehe ich das falsch?

oder wollt ihr mir nun sagen das microsoft generell nicht in der lage ist einen funktionierenden ftp server bereit zu stellen?