|
|
Пишет Русскоязычное Linux-сообщество (![[info]](http://lj.rossia.org/img/syndicated.gif){kind=small} lj_ru_linux)@ 2013-03-20 04:38:00 |
 |
|
 |
|
|
|
|
|
|
 |
|
 |
Как скачивают список пользователей FTP?
У меня уже несколько лет сервер с федорой. И на него уже несколько лет ломятся разнообразные хакеры по сто штук в день, пытаются зайти на ftp, ssh, просканировать порты, поспамить в cgi-скрипты, и т.д. И ничего бы особенного в этом не было, но смущает одна вещь. Вот отрывок из /var/log/secure:
authentication failure; logname= uid=0 euid=0 tty= ruser=vasya rhost=::ffff:70.87.64.130 user=vasya: 2 Time(s)
authentication failure; logname= uid=0 euid=0 tty= ruser=petya rhost=::ffff:70.87.64.130 user=petya: 1 Time(s)
authentication failure; logname= uid=0 euid=0 tty= ruser=joe rhost=::ffff:70.87.64.130 user=joe: 1 Time(s)
authentication failure; logname= uid=0 euid=0 tty= ruser=jane rhost=::ffff:70.87.64.130 user=jane: 1 Time(s)
Так вот, vasya, petya, joe и jane - реальные пользователи моего сервера. IP, с которых ломятся - разные, но картина повторяется регулярно, ломятся именно на эти логины - ни на root, ни на несуществующие имена, ни на все имена (у меня есть юзеры apache, bin и т.д.), а только на логины, имеющие доступ к ftp. Такое чувство, что человек наткнулся на мой сервер, тут же узнал имена юзеров ftp и тут же стал на них логиниться.
FTP-сервер у меня ProFTPD, но таблицы юзеров в нем нет, он ее берет из /etc/passwd, который выглядит примерно так:
vasya:x:401:200:vasya:/var/www/vasya:/sb
petya:x:402:200:petya:/var/www/petya:/sb
...
То есть можно предположить, что существует легкий способ скачать у меня /etc/passwd. Далее отсеиваются те, у кого рабочая директория не начинается с /var/www, и вперед. Или даже существует легкий способ скачать у меня /etc/group и прочитать вот эту строчку:
ftp:x:100:vasya,petya,joe,jane
А теперь вопрос - как?? Ну ладно, может, у меня кривые руки, и /etc/passwd добывается траверсом директорий через один из cgi-скриптов. Стал искать в файлах access_log* комбинации типа "../..", и нашел только такое:
5.9.120.22 - - [19/Feb/2013:15:30:24 +0000] "GET ///index.php?option=com_ccnewsletter&controller=../..
/../../../../../../../../../../../../../
04 207 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2) Gecko/20100115 Firefox/3.6"
Но ведь 5.9.120.22 даже не пытался лазить на FTP, в /var/log/secure и в proftpd.log его нет, а айпишников типа 70.87.64.130 нет в access_log-ах. Так что за технологию они используют?
У меня уже несколько лет сервер с федорой. И на него уже несколько лет ломятся разнообразные хакеры по сто штук в день, пытаются зайти на ftp, ssh, просканировать порты, поспамить в cgi-скрипты, и т.д. И ничего бы особенного в этом не было, но смущает одна вещь. Вот отрывок из /var/log/secure:
authentication failure; logname= uid=0 euid=0 tty= ruser=vasya rhost=::ffff:70.87.64.130 user=vasya: 2 Time(s)
authentication failure; logname= uid=0 euid=0 tty= ruser=petya rhost=::ffff:70.87.64.130 user=petya: 1 Time(s)
authentication failure; logname= uid=0 euid=0 tty= ruser=joe rhost=::ffff:70.87.64.130 user=joe: 1 Time(s)
authentication failure; logname= uid=0 euid=0 tty= ruser=jane rhost=::ffff:70.87.64.130 user=jane: 1 Time(s)
Так вот, vasya, petya, joe и jane - реальные пользователи моего сервера. IP, с которых ломятся - разные, но картина повторяется регулярно, ломятся именно на эти логины - ни на root, ни на несуществующие имена, ни на все имена (у меня есть юзеры apache, bin и т.д.), а только на логины, имеющие доступ к ftp. Такое чувство, что человек наткнулся на мой сервер, тут же узнал имена юзеров ftp и тут же стал на них логиниться.
FTP-сервер у меня ProFTPD, но таблицы юзеров в нем нет, он ее берет из /etc/passwd, который выглядит примерно так:
vasya:x:401:200:vasya:/var/www/vasya:/sb
petya:x:402:200:petya:/var/www/petya:/sb
...
То есть можно предположить, что существует легкий способ скачать у меня /etc/passwd. Далее отсеиваются те, у кого рабочая директория не начинается с /var/www, и вперед. Или даже существует легкий способ скачать у меня /etc/group и прочитать вот эту строчку:
ftp:x:100:vasya,petya,joe,jane
А теперь вопрос - как?? Ну ладно, может, у меня кривые руки, и /etc/passwd добывается траверсом директорий через один из cgi-скриптов. Стал искать в файлах access_log* комбинации типа "../..", и нашел только такое:
5.9.120.22 - - [19/Feb/2013:15:30:24 +0000] "GET ///index.php?option=com_ccnewsletter&controller=../..
/../../../../../../../../../../../../../
04 207 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2) Gecko/20100115 Firefox/3.6"
Но ведь 5.9.120.22 даже не пытался лазить на FTP, в /var/log/secure и в proftpd.log его нет, а айпишников типа 70.87.64.130 нет в access_log-ах. Так что за технологию они используют?
