Versuche den FTP-Server zu "hacken" und DynDNS

[thE_29]

Prinzipiell könnte das Programm schon für mehrere Dinge gehen!

Aber zZ (das kann man nicht via Parameter ändern) sehe ich in der angegeben Vsftpd Log Datei nach ob das hier vorkommt:
FAIL LOGIN:

Danach zerlege ich den String
Also das steht ja da:
Sat Sep 13 19:26:29 2008 [pid 5057] [Administrator] FAIL LOGIN: Client "200.68.66.94"
Nach der letzten Stelle + Benutzername (obwohl man den gar nicht bräuchte, ich banne ja die IP).

Aber man könnte es auf alles anwenden

[thE_29]

Hrhr!

Er hats schon wieder probiert.

Wed Sep 17 01:43:37 2008: Failed login attempt: Wed Sep 17 01:43:36 2008 [pid 6862] [Administrator] FAIL LOGIN: Client "87.241.52.130"
Wed Sep 17 01:43:37 2008: New Fail user registered: Administrator IP: 87.241.52.130
Wed Sep 17 01:43:40 2008: Failed login attempt: Wed Sep 17 01:43:39 2008 [pid 6862] [Administrator] FAIL LOGIN: Client "87.241.52.130"
Wed Sep 17 01:43:40 2008: Found user: Administrator with IP: 87.241.52.130 and error cnt 1 in list!
Wed Sep 17 01:43:40 2008: Raise user error count(2): 87.241.52.130[Administrator]
Wed Sep 17 01:43:42 2008: Failed login attempt: Wed Sep 17 01:43:41 2008 [pid 6862] [Administrator] FAIL LOGIN: Client "87.241.52.130"
Wed Sep 17 01:43:42 2008: Found user: Administrator with IP: 87.241.52.130 and error cnt 2 in list!
Wed Sep 17 01:43:42 2008: Raise user error count(3): 87.241.52.130[Administrator]
Wed Sep 17 01:43:42 2008: BAN this ass with IP: 87.241.52.130
Wed Sep 17 01:53:45 2008: UNBAN user (Administrator) with IP: 87.241.52.130

[akbor]

Mal eine blöde Frage, in welchem Verzeichnis speichert vsftpd standardmäßig seinen Log? Ich habe weder unter /var/log/ (das Verzeichnis in dem Samba-Logs liegen) noch unter /tmp/ (das Verzeichnis in dem Sys-Log liegt) eine vsftpd.log

Gruß

Robert

[thE_29]

Läuft den bei dir der Standard vsftpd Server der FW?
Oder hast du wo eine config Datei?

[akbor]

Standard!

Gruß

Robert

[thE_29]

Und der läuft bei dir?
Was hast du für Dinge eingestellt?
Bei mir is der nie gelaufen.

Habe dann ne vsftpd.conf nach /etc kopiert und in .files umgeleitet, sodaß es auch nachher noch da ist.
Da kannste auch Log angeben. Wo er defaultmäßig hinlogt weiß ich nicht. Müsstes oleg fragen..

[akbor]

Ja klar läuft es. Es läuft zumindest so gut, dass ich nicht auf die Idee gekommen bin, irgendetwas an der Standard-Konfig zu ändern.

Alle Einstellungen aus dem Webinterface sind unter /etc/ zu finden (die Dateien vsftpd.conf, vsftpd.passwd und die ganzen Benutzer in /etc/vsftpd.users/) Aber eine Datei namens vsftpd.log kann ich nirgends finden

Vielleicht wird vsftpd standardmäßig so gestartet, dass es nur in syslog schreibt und keine eigene Logdatei anlegt?

Gruß

Robert

[thE_29]

Also bei mir ist der nie gelaufen!
Und bei mir sind auch keine Konfig files in /etc mit vsftpd!
Könntest du mir einen Screenshot von der FTP Konfig zeigen?

Bei mir will und will der nicht starten! Eventuell schau in die /etc/vsftpd.conf nach ob irgendwo was von log steht!

Der Eintrag gibt die LogDatei an
vsftpd_log_file=....

[akbor]

klar!

es ist aber im grossen ganzen nur Enable FTP Server auf "Yes" zu setzen und Benutzer mit den nötigen Rechen anlegen, schon funktioniert's.

ich habe keinen Parameter vsftpd_log_file=.... unter /etc/vsftpd.conf, also loggt mei vsftpd nirgendwo hin ausser in syslog. Das heisst, du hast dein /etc/ nach /opt/etc/ (also auf die Platte) übermountet, oder wie?

Code:

[admin@wlanrouter etc]$ cat vsftpd.conf
anonymous_enable=no
dirmessage_enable=yes
download_enable=no
dirlist_enable=no
hide_ids=yes
syslog_enable=yes
local_enable=yes
local_umask=022
chmod_enable=no
chroot_local_user=yes
check_shell=no
user_config_dir=/etc/vsftpd.users
passwd_file=/etc/vsftpd.passwd
listen=yes
listen_port=21
background=yes
max_clients=3
idle_session_timeout=240
utf8=yes
use_sendfile=no
anon_max_rate=0
local_max_rate=0
[admin@wlanrouter etc]$

Gruß

Robert

[thE_29]

Schau mal nach /tmp/syslog.log ob dort was steht zwecks ftp!

Ich werde das Programm vsftp_banner nicht mehr weiterführen und den log_banner weitermachen.

Der log_banner kann dann individuel auf das vsftpd oder auf das syslog zugreifen.
Es geht zwar nur eine Log Datei aufeinmal auswerten, aber mehrere Programme.

Bin zZ noch bei der Logik vom Logfile aufbauen und einlesen!

[akbor]

ja, im Syslog sthehen auch die Meldungen von vsftpd, z.B.:

Sep 29 18:13:25 vsftpd[2952]: CONNECT: Client "59.108.108.100"
Sep 29 18:13:25 vsftpd[2951]: [admin] FAIL LOGIN: Client "59.108.108.100"
Sep 29 18:13:27 vsftpd[2951]: [admin] FAIL LOGIN: Client "59.108.108.100"
Sep 29 18:13:28 vsftpd[2951]: [admin] FAIL LOGIN: Client "59.108.108.100"

die meisten gehen nach wie vor auf den "admin" der "Administrtor" los. Ich überlege schon ernsthaft, einen FTP-User namens admin mit dem Passwort 12345 oder so im Private-Bereich einzurichten und eine readme.txt mit ungefähr folgendem Inhalt (in 5 gängigen Sprachen oder so) anzulegen:

"Leber Hacker, du bist soeben erfolgreich in den Honey-Pod #94456 des Federal Bureau of Investigations eingedrungen. Deine IP-Adresse wurde protokolliert. Du wirst in den nächsten Tagen Post von dem für deinen Wohnort zuständigen Staatsanwalt bekommen."

Wäre doch ein Spass, oder? Ich werde leider nie erfahren, ob sich jemand ins Hemd maht, oder nicht



auf welche Dienste willst du deinen Banner ausweiten?

Gruß

Robert

[thE_29]

Naja, man kann es auf syslog zeigen lassen und dann so ziemlich jedes Programm hinzukonfigurieren.

Also ich werte erst nach den ersten 3 Token aus.

Also ersten 3 Leerzeichen texte weg == datum. Dann kan man sagen wenn vsftpd steht und es steht FAIL LOGIN dann suche IP + USER raus (gibt man auch an).

Man kann es für dropbear auch konfigurieren und halt eigentlich alles was da was reinloggt mit IP + Error Nachricht.

[legolas]

Hi,

wäre nicht schlecht, wenn Du Dein Programm universell machen könntest. Dann kann man alles blocken.

Hab mal in meinem Log nachgesehen und musste leider feststellen, dass beim mir auch die Einbruchversuche von IP 222.216.28.224 über SSH durchgeführt werden. Es sieht sehr unbedarft aus, da alle Ports zufällig oder teilsystematisch durchprobiert werden.

Code:

Sep 27 08:15:12 dropbear[6527]: exit before auth: Disconnect received
Sep 27 08:15:13 dropbear[6528]: Child connection from ::ffff:222.216.28.224:8322
Sep 27 08:15:15 dropbear[6528]: login attempt for nonexistent user from ::ffff:222.216.28.224:8322
Sep 27 08:15:16 dropbear[6528]: exit before auth: Disconnect received
Sep 27 08:15:17 dropbear[6529]: Child connection from ::ffff:222.216.28.224:8911
Sep 27 08:15:19 dropbear[6529]: login attempt for nonexistent user from ::ffff:222.216.28.224:8911
Sep 27 08:15:20 dropbear[6529]: exit before auth: Disconnect received
Sep 27 08:15:21 dropbear[6530]: Child connection from ::ffff:222.216.28.224:9505
Sep 27 08:15:23 dropbear[6530]: login attempt for nonexistent user from ::ffff:222.216.28.224:9505
Sep 27 08:15:24 dropbear[6530]: exit before auth: Disconnect received
Sep 27 08:15:25 dropbear[6531]: Child connection from ::ffff:222.216.28.224:9750
Sep 27 08:15:27 dropbear[6531]: login attempt for nonexistent user from ::ffff:222.216.28.224:9750
Sep 27 08:15:28 dropbear[6531]: exit before auth: Disconnect received
Sep 27 08:15:29 dropbear[6532]: Child connection from ::ffff:222.216.28.224:10340
Sep 27 08:15:31 dropbear[6532]: login attempt for nonexistent user from ::ffff:222.216.28.224:10340
Sep 27 08:15:32 dropbear[6532]: exit before auth: Disconnect received
Sep 27 08:15:33 dropbear[6533]: Child connection from ::ffff:222.216.28.224:10888
Sep 27 08:15:35 dropbear[6533]: login attempt for nonexistent user from ::ffff:222.216.28.224:10888
Sep 27 08:15:36 dropbear[6533]: exit before auth: Disconnect received
Sep 27 08:15:36 dropbear[6534]: Child connection from ::ffff:222.216.28.224:11482
Sep 27 08:15:39 dropbear[6534]: login attempt for nonexistent user from ::ffff:222.216.28.224:11482
Sep 27 08:15:40 dropbear[6534]: exit before auth: Disconnect received
Sep 27 08:15:40 dropbear[6535]: Child connection from ::ffff:222.216.28.224:12050
Sep 27 08:15:43 dropbear[6535]: login attempt for nonexistent user from ::ffff:222.216.28.224:12050
Sep 27 08:15:44 dropbear[6535]: exit before auth: Disconnect received
Sep 27 08:15:44 dropbear[6536]: Child connection from ::ffff:222.216.28.224:12319

Ich hab den bzw. die Rechner mal über traceroute rückverfolgt. Dabei kam heraus, dass der Rechner in China steht.

Code:

Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\Dokumente und Einstellungen\Norbert>ping 222.216.28.224

Ping wird ausgeführt für 222.216.28.224 mit 32 Bytes Daten:

Antwort von 222.216.28.224: Bytes=32 Zeit=355ms TTL=44
Antwort von 222.216.28.224: Bytes=32 Zeit=372ms TTL=42
Antwort von 222.216.28.224: Bytes=32 Zeit=394ms TTL=42
Antwort von 222.216.28.224: Bytes=32 Zeit=417ms TTL=44

Ping-Statistik für 222.216.28.224:
    Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0 (0% Verlust),
Ca. Zeitangaben in Millisek.:
    Minimum = 355ms, Maximum = 417ms, Mittelwert = 384ms

C:\Dokumente und Einstellungen\Norbert>tracert 222.216.28.224

Routenverfolgung zu 222.216.28.224 über maximal 30 Abschnitte

  1    91 ms   100 ms     7 ms  fritz.fonwlan.box [192.168.1.251]
  2   112 ms   100 ms   101 ms  rdsl-dsdf-de01.nw.mediaways.net [213.20.58.193]

  3   121 ms   100 ms   203 ms  xmwc-dsdf-de01-chan-18.nw.mediaways.net [195.71.
242.114]
  4   111 ms   203 ms   102 ms  Ge6-1-0-0-grtfraix1.red.telefonica-wholesale.net
.9.16.84.in-addr.arpa [84.16.9.101]
  5   115 ms   100 ms   101 ms  GE7-0-0-0-grtfraix3.red.telefonica-wholesale.net
 [213.140.36.10]
  6   118 ms   203 ms   100 ms  202.97.73.13
  7   427 ms   408 ms   407 ms  202.97.52.105
  8   420 ms   408 ms   409 ms  202.97.52.89
  9   423 ms   407 ms   409 ms  202.97.60.205
 10   427 ms   409 ms   408 ms  202.97.34.13
 11   424 ms   408 ms   408 ms  202.97.40.226
 12   415 ms   368 ms   448 ms  218.65.137.6
 13   362 ms   407 ms   408 ms  218.65.137.22
 14   422 ms   408 ms   409 ms  222.216.5.130
 15   427 ms   408 ms   511 ms  222.216.28.224

Ablaufverfolgung beendet.

Eine Anfrage beim NIC ergab folgenden Betreiber für dieses Netz:

Code:

Request: 222.216.28.224
connected to whois.arin.net [192.149.252.44:43] ... 
connected to whois.apnic.net [202.12.29.13:43] ... 
% [whois.apnic.net node-2]
% Whois data copyright terms    http://www.apnic.net/db/dbcopyright.html

inetnum:      222.216.0.0 - 222.218.255.255
netname:      CHINANET-GX
descr:        CHINANET Guangxi province network
descr:        China Telecom
descr:        No1,jin-rong Street
descr:        Beijing 100032
country:      CN
admin-c:      CH93-AP
tech-c:       CR766-AP
mnt-by:       APNIC-HM
mnt-lower:    MAINT-CHINANET-GX
mnt-routes:   MAINT-CHINANET-GX
status:       ALLOCATED PORTABLE
remarks:      -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
remarks:      This object can only be updated by APNIC hostmasters.
remarks:      To update this object, please contact APNIC
remarks:      hostmasters and include your organisation's account
remarks:      name in the subject line.
remarks:      -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
changed:      hm-changed@apnic.net 20040324
source:       APNIC

role:         CHINANET GUANGXI
address:      No.35,Minzhu Road,Nanning 530015
country:      CN
phone:        +86-771-2815987
fax-no:       +86-771-2839278
e-mail:       hostmaster@gx163.net
trouble:      send spam reports to hostmaster@gx163.net
trouble:      send abuse reports to hostmaster@gx163.net
trouble:      times in GMT+8
admin-c:      CR76-AP
tech-c:       BD37-AP
nic-hdl:      CR766-AP
remarks:      http://www.gx.cninfo.net
notify:       hostmaster@gx163.net
mnt-by:       MAINT-CHINANET-GX
changed:      hostmaster@gx163.net 20021024
source:       APNIC

person:       Chinanet Hostmaster
nic-hdl:      CH93-AP
e-mail:       anti-spam@ns.chinanet.cn.net
address:      No.31 ,jingrong street,beijing
address:      100032
phone:        +86-10-58501724
fax-no:       +86-10-58501724
country:      CN
changed:      dingsy@cndata.com 20070416
mnt-by:       MAINT-CHINANET
source:       APNIC

Wir haben es also mit einer gelben Invasion zu tun. Teilweise kommen auch Einbruchversuche aus Japan. Vermutlich sind diese Rechner von Chinesen gehackt worden und sniffen von dort aus.

Bin daher also auch an einer guten Lösung interessiert.

Norbert

[akbor]

Es ist alles vertreten, Polen, Brasilien, China. Die Whois-Abfragen machen im allgemeinen wenig Sinn, es handelt sich meistens um die DHCP-Pools der grossen DSL-Provider. Auch wenn du die Kopie deines Syslogs an abuse@xxx.xxx sendest, kommt sowieso nichts dabei raus, du wirst nur müde.

Gruß

Robert

[thE_29]

Also ich kann schon auf syslog Message reagieren und zwischen Programmen unterscheiden!

Problem ist aber das rausparsen der IP!

Man kann Zeichen eintragen (in der conf) welche immer weggelöscht werden sollen.
Aber hier: ::ffff:222.216.28.224:9750
Kann man nicht sagen lösche alle : und f weg, weil dann die ip das ist
222.216.28.2249750

Da ich das ganze aber dynamisch halten will, weiß ich nicht wie ich das am besten einstelle!
Hab schon überlegt irgendwie mit regex das angeben zu lassen, nur geht regex unter C++ wieder nicht so super...


Nachtrag: So habe mir eine IP Filtermethode geschrieben die eigentlich recht gut klappt. Das Teil funktioniert auch schon wunderbar auf dem /tmp/syslog.log mit dropbear!
Muss jetzt noch testen wenn 2 verschieden Programme etwas machen wollen und wenn ich es zb auf /opt/var/log/vsftpd.log lege!