michael baum

herr dr. melzer.. sagen wir mal dieser rechner sei ein honeypot und soll nichts anderes darstellen.die daten darauf sind generell nicht wichtig. was sie denken spielt ja hier fuer mich keine grosse rolle aber was sie wissen waere von interesse. wie wuerden sie verfahren wenn sie gezwungen sein wuerden einen w2k server fuer ftp zu nutzen und sie stellen fest das es sich so wie schon erklaert verhaelt?ein paar anmachen vom stapel zu lassen ist doch hier nicht angebracht oder wie sehen sie das?sie sind doch auch nicht als dr. vom himmel gefallen oder vielleicht doch... XP-FAN ja ich dachte der support fuer w2k sei erst 13. Juli 2010. vorbei.ich werde testweise eine w2k3 als vm testen... aber es ging einfach nur darum nach dem fehler zu suchen.... um etwas zu lernen koennte man sagen

warum sollte ich einen 2000-server nicht ans internet hängen.sicherlich ist das keine gute wahl... allerdings denke ich nicht das 2003 oder 2008 viel besser sein wird oder sehe ich das falsch? oder wollt ihr mir nun sagen das microsoft generell nicht in der lage ist einen funktionierenden ftp server bereit zu stellen?

keiner hat eine idee wonach ich suchen könnte um den fehler zu finden? ->gibt es eine möglichkeit fehlanmeldungen auf IIS 5 so zu konfigurieren das nach x fehlanmeldungen der user via ip komplett ausgeschlossen wird?oder vielleicht eine andere idee?

firewall dazwischen! ausschließlich port 21 ist offen

sorry nachtrag nr. 2 # 331 User name okay, need password. (Benutzername OK, Kennwort erforderlich) # 332 Need account for login. (Benutzerkonto zur Anmeldung erforderlich) wobei ich herausfinden konnte das ein 331 auch ein 332 sein soll?!? wie schon gesagt gibt es den user "info" nicht warum kann dieser dann einen 331 bekommen?

nachtrag-> warum steht eigentlich immer ein "pass" oder "user" hinter der (85)?? der user "info" existiert nicht auf dieser maschine! 2010-02-21 21:35:08 60.217.229.228 - MSFTPSVC1 DATACENTER 192.168.111.222 21 [85]PASS - - 530 1326 0 0 0 FTP - - - - 2010-02-21 21:35:08 60.217.229.228 info MSFTPSVC1 DATACENTER 192.168.111.222 21 [85]USER info - 331 0 0 0 0 FTP - - - -

@snoopy hier mal ein sehr kleiner auszug. #Software: Microsoft Internet Information Services 5.0 #Version: 1.0 #Date: 2010-02-19 23:00:00 #Fields: date time c-ip cs-username s-sitename s-computername s-ip s-port cs-method cs-uri-stem cs-uri-query sc-status sc-win32-status sc-bytes cs-bytes time-taken cs-version cs-host cs(User-Agent) cs(Cookie) cs(Referer) 2010-02-19 23:00:00 60.217.229.220 administrator MSFTPSVC1 DATACENTER 192.168.111.222 21 [77]USER administrator - 331 0 0 0 0 FTP - - - - 2010-02-19 23:00:00 60.217.229.220 - MSFTPSVC1 DATACENTER 192.168.111.222 21 [77]PASS - - 530 1326 0 0 0 FTP - - - - 2010-02-19 23:00:00 60.217.229.220 administrator MSFTPSVC1 DATACENTER 192.168.111.222 21 [77]USER administrator - 331 0 0 0 0 FTP - - - - 2010-02-19 23:00:01 60.217.229.220 - MSFTPSVC1 DATACENTER 192.168.111.222 21 [77]PASS - - 530 1326 0 0 0 FTP - - - - 2010-02-19 23:00:01 60.217.229.220 administrator MSFTPSVC1 DATACENTER 192.168.111.222 21 [77]USER administrator - 331 0 0 0 0 FTP - - - - 2010-02-19 23:00:01 60.217.229.220 - MSFTPSVC1 DATACENTER 192.168.111.222 21 [77]PASS - - 530 1326 0 0 0 FTP - - - - 2010-02-19 23:00:03 60.217.229.220 administrator MSFTPSVC1 DATACENTER 192.168.111.222 21 [77]USER administrator - 331 0 0 0 0 FTP - - - - 2010-02-19 23:00:03 60.217.229.220 - MSFTPSVC1 DATACENTER 192.168.111.222 21 [77]PASS - - 530 1326 0 0 0 FTP - - - - 2010-02-19 23:00:03 60.217.229.220 administrator MSFTPSVC1 DATACENTER 192.168.111.222 21 [77]USER administrator - 331 0 0 0 0 FTP - - - - 2010-02-19 23:00:04 60.217.229.220 - MSFTPSVC1 DATACENTER 192.168.111.222 21 [77]PASS - - 530 1326 0 0 0 FTP - - - - 2010-02-19 23:00:04 60.217.229.220 administrator MSFTPSVC1 DATACENTER 192.168.111.222 21 [77]USER administrator - 331 0 0 0 0 FTP - - - - 2010-02-19 23:00:04 60.217.229.220 - MSFTPSVC1 DATACENTER 192.168.111.222 21 [77]PASS - - 530 1326 0 0 0 FTP - - - - 2010-02-19 23:00:05 60.217.229.220 administrator MSFTPSVC1 DATACENTER 192.168.111.222 21 [77]USER administrator - 331 0 0 0 0 FTP - - - - XXX 2010-02-21 21:35:05 60.217.229.228 info MSFTPSVC1 DATACENTER 192.168.111.222 21 [85]USER info - 331 0 0 0 0 FTP - - - - 2010-02-21 21:35:05 60.217.229.228 - MSFTPSVC1 DATACENTER 192.168.111.222 21 [85]PASS - - 530 1326 0 0 0 FTP - - - - 2010-02-21 21:35:07 60.217.229.228 info MSFTPSVC1 DATACENTER 192.168.111.222 21 [85]USER info - 331 0 0 0 0 FTP - - - - 2010-02-21 21:35:07 60.217.229.228 - MSFTPSVC1 DATACENTER 192.168.111.222 21 [85]PASS - - 530 1326 0 0 0 FTP - - - - 2010-02-21 21:35:07 60.217.229.228 info MSFTPSVC1 DATACENTER 192.168.111.222 21 [85]USER info - 331 0 0 0 0 FTP - - - - 2010-02-21 21:35:08 60.217.229.228 - MSFTPSVC1 DATACENTER 192.168.111.222 21 [85]PASS - - 530 1326 0 0 0 FTP - - - - 2010-02-21 21:35:08 60.217.229.228 info MSFTPSVC1 DATACENTER 192.168.111.222 21 [85]USER info - 331 0 0 0 0 FTP - - - - danach hatte der user eine session mit dem user "info" als ich diesen rausgeworfen hatte, hatte der user eine session mit KEINEM usernamen?!? ereignisanzeige zeigt hierbei nur fehlerhafte anmeldungen. ps:gibt es eine möglichkeit user automatisch via ip zu sperren wenn mehrere fehlanmeldungen vorhanden sind?so wie die lokalen anmeldungen?

hallo ich habe hier ein kleineres problem mit erfolgreichen logins von benutzern die eigentlich nie eingerichtet wurden.das ganze erfolgt via IIS auf FTP.der angreifer versucht anfangs standard benutzernamen zu knacken und im anschluss schafft er es sich mit einem nicht existierenden benutzernamen tatsaechlich zu verbinden!das FTP log zeigt hierbei weiterhin 530(ben/pass falsch) obwohl der user als aktive verbindung angezeigt wird und ebenso ein transfer besteht.ich kann mir das nicht ganz erklaeren vielleicht kennt ihr dieses problem beim IIS 5? ist das ein bekanntes sicherheits loch?updates konnte ich nicht finden? falls die frage kommen sollte...ein gastkonto ist nicht vorhanden etc.der FTP laesst keine anonuemen verbindungen zu. vielen dank fuer die hilfe im voraus