Proftp gehacked -> welke log kan ik gebruiken? - Linux en overige clients

woensdag 10 augustus 2005 10:58

Acties:

Topicstarter

Beste tweakers,

Ik ben een n00b in linuxland maar ben nu al een tijdje mee aan het rommelen. Mijn kennis is dus niet optimaal, maar ik weet wel mijn weg.

Sinds kort heb ik een linux-ftpserver draaien. Nu merk ik dat er 3 bestanden zijn geupload (sommige met virus), zonder dat anonimous-users kunnen uploaden. De enige die kan uploaden ben ik (root).

De distro die ik gebruik is ClarkConnect 3 (Home) icm volgens APT-GET de nieuwste versie van Proftp.

De bestanden die zijn geupload zijn:

1. a.exe (geinfecteerd met W32.licum)
2. smsrv.exe (geinfecteerd met W32.HLLW.Gaobot)
3. testfile (zonder extensie)

Hieronder is de /etc/proftpd.conf:

code:

# This is a basic ProFTPD configuration file (rename it to
# 'proftpd.conf' for actual use.  It establishes a single server
# and a single anonymous login.  It assumes that you have a user/group
# "nobody" and "ftp" for normal operation and anon.

ServerName "Hennio"
ServerType  standalone
DefaultServer           on

# Port 21 is the standard FTP port.
Port 21

# Umask 022 is a good standard umask to prevent new dirs and files
# from being group and world writable.
Umask 022

# To prevent DoS attacks, set the maximum number of child processes
# to 30.  If you need to allow more than 30 concurrent connections
# at once, simply increase this value.  Note that this ONLY works
# in standalone mode, in inetd mode you should use an inetd server
# that allows you to limit maximum number of processes per service
# (such as xinetd).
MaxInstances 30

# Set the user and group under which the server will run.
User                nobody
Group               nobody

# To cause every FTP user to be "jailed" (chrooted) into their home
# directory, uncomment this line.
DefaultRoot ~

# Normally, we want files to be overwriteable.
<Directory />
  AllowOverwrite        on
</Directory>

# A basic anonymous configuration, no upload directories.  If you do not
# want anonymous users, simply delete this entire <Anonymous> section.
<Anonymous ~ftp>
  User              ftp
  Group             ftp

  # We want clients to be able to login with "anonymous" as well as "ftp"
  UserAlias         anonymous ftp

  # Limit the maximum number of anonymous logins
  MaxClients            10

  # We want 'welcome.msg' displayed at login, and '.message' displayed
  # in each newly chdired directory.
  DisplayLogin          welcome.msg
DisplayFirstChdir .message

  # Limit WRITE everywhere in the anonymous chroot
  <Limit WRITE>
    DenyAll
  </Limit>
<Directory />
</Directory>
UserDirRoot off
DirFakeGroup off
</Anonymous>
DeleteAbortedStores on
HiddenStor off

Kan iemand mij vertellen welke log's ik kan gebruiken om de boef te vinden?
(en anders hoe ik ze in de toekomst wel kan vinden

)

Op google vond ik dat ik de loggegevens van mijn FTP-server (Proftp) kan vinden in /etc/proftpd of in /var/log/proftpd/ maar deze directories heb ik niet.

Ik ben benieuwd en bij voorbaat dank!

woensdag 10 augustus 2005 11:32

Acties:

Verwijderd

inderaad anonymous ftp staat gewoon aan. alles tussen <anonymous> en </anonymous> weghalen en proftpd opnieuws opstarten!

woensdag 10 augustus 2005 11:37

Acties:

danslo

Verwijderd schreef op woensdag 10 augustus 2005 @ 11:32:
inderaad anonymous ftp staat gewoon aan. alles tussen <anonymous> en </anonymous> weghalen en proftpd opnieuws opstarten!

Wie zegt dat hij geen anonymous user wilt? Ik zie toch duidelijk een limit op iedereen om te WRITEen.

Btw, mag ik vragen waarom je dat OS gebruikt? Ik ken het niet, en als ik jou was (redelijk nieuw begrijp ik zo) zou ik een bekendere distro nemen, denk aan debian/freebsd. Niet alleen is daar veel meer over te vinden(denk aan troubleshooting), de bugfixing lijkt me ook beter. (al kan die bekendheid ook tegenwerken in dat laatste)

woensdag 10 augustus 2005 11:47

Acties:

doelman

cls schreef op woensdag 10 augustus 2005 @ 11:37:
[...]

Btw, mag ik vragen waarom je dat OS gebruikt? Ik ken het niet, en als ik jou was (redelijk nieuw begrijp ik zo) zou ik een bekendere distro nemen, denk aan debian/freebsd.

Zo onbekend is ClarkConnect niet, en de bugfixing is ook niet slecht, het is namelijk een bedrijf, dat het levert, ze leveren ook betaalde versies. Ik weet niet of de TS een betaalde versie heeft. Maar als je een betaalde versie heb, lijkt mij dat de bugfixing + support goed moet zijn.

Mijn pianomuziek: http://www.youtube.com/user/doelman

woensdag 10 augustus 2005 11:55

Acties:

McCloud

Wie is de owner van die geuploade bestanden????

Verder zeg je dat je alleen met jouw account (root) kan ftp'en. Het is echter niet zo slim om 'root' ftp-access te geven. Het is sowieso niet slim om je root account te gebruiken voor normaal werk waar je geen root-rechten voor nodig hebt.

Hier kan je een howto vinden om je FTP server wat te beveiligen: http://www.comptechdoc.org/os/linux/manual4/secureftp.html

Let vooral op dat 'ftpusers' bestand, waarin je kan aangeven wie geen ftp access mogen hebben. Verder vind ik het handig om dedicated users te maken die ALLEEN ftp access hebben. Dit kan je voor elkaar krijgen door de 'shell' van die users te wijzigen. Er zijn op het Internet wel voorbeelden te vinden van shells die geen rechten hebben om lokaal of remote in te loggen, maar alleen logins via web of ftp toelaten. (ik zit nu niet achter m'n Debian bak, anders had ik wel ff een voorbeeldje gepost, maar het is makkelijk via Google te vinden).

woensdag 10 augustus 2005 12:00

Acties:

deepbass909

[☼☼] [:::][:::] [☼☼]

ClackConnect is een redelijk bekende distro hoor. Ontwikkeld voor mensen die niets of weining van linux weten, maar wel een servertje willen draaien. OVer het algemeen is CC behoorlijk veilig, al weet ik niet wat er gebeurt als je van de bestaande config afwijkt, zoals de ts heeft gedaan.

Je logs zouden trouwens in /var/log moeten staan (daar staan ze bijna altijd, eventueel in een subdir met de naam van het programma).

Waarschuwing, opperprutser aan het werk... en als je een opmerking van mij niet snapt, klik dan hier

woensdag 10 augustus 2005 12:02

Acties:

doelman

deepbass909 schreef op woensdag 10 augustus 2005 @ 12:00:
Je logs zouden trouwens in /var/log moeten staan (daar staan ze bijna altijd, eventueel in een subdir met de naam van het programma).

Bij proftpd moet je in je .conf aangeven, dat je logging wil. Bijv. door dit in je .conf te zetten:

code:

1
2
3

ExtendedLog /var/log/proftpd/ftp.log read,write
SystemLog /var/log/proftpd/error
TransferLog /var/log/proftpd/transfers

Bij een standaard proftpd install, staat dat uit namelijk.

Mijn pianomuziek: http://www.youtube.com/user/doelman

woensdag 10 augustus 2005 12:05

Acties:

Boudewijn

omdat het kan

doe anders eens een locate ftp | grep log ofzo... dan weet je meteen of er ergens een logje is gemaakt. Staat er trouwens niets in je /var/log/messages? (tip : grep ftp -in /var/log/messages).

woensdag 10 augustus 2005 12:08

Acties:

Kippenijzer

McFallafel, nu met paardevlees

/var/log/xferlog misschien?

woensdag 10 augustus 2005 12:09

Acties:

Thc_Nbl

enne het hoeft niet perse zo te zijn dat ze via proftpd zijn binnen komen.
Heb je b.v. apache draaien, met een CMS .b.v. mambo.
en staan de rechten op die directories wel goed.

Ik heb ook een hack gehad ( niet mijn eigen server ) en die was via mambo binnen komen.
de eigenaar had alle directories op 777 staan, ja dat is om problemen vragen.

was alleen jammer voor die hacker dat hij niet alle logs verwijderd had.
Controleer je server op alle .bash_history bestanden.
locate .bash_history
ik vond een .bash_history in /var/lib
Ik vond zo b.v. een inlognaam en password van de hacker zijn ftp.
kan je mooi effe zijn server Deleten ;-)
.. en kom je jpg tegen op zo'n moment .. net als ik.. gelijk downloaden..
ik had zo ook zijn msn login.. die heeft het wel geweten. was een braziliaan trouwen.

nou suc6

ehhh.. noppes

woensdag 10 augustus 2005 12:11

Acties:

Oceria

I've been in between....

Dit is inderdaad de standaard proftpd configuratie. Hierbij wordt alle users toegestaan om te lezen en schrijven in /home/user en lezen in /var/ftp. Anonymous login staat aan, maar is in principe alleen lezen van /var/ftp. Schrijven zou niet mogen kunnen.

Standaard staat CC zo ingesteld dat de root account GEEN ftp account heeft,, juist om dit soort dingen te voorkomen. Door je root alsnog een account te geven heb je schrijfpermissies gegeven in zowel /var/ftp als /home/~ en .... /root

ZET DUS ZO SPOEDIG MOGELIJK DE FTP PERMISSIES VOOR ROOT UIT!

Verder zal proftpd standaard naar /var/log/xferlog loggen. Ook kun je /var/log/messages en /var/log/secure nog bekijken.
Gebruik als zoekterm proftpd als je via de wembadmin pagina zoekt. In vi kun je zoeken met het commando ?

Succes met het debuggen van je box!

Oceria doesn't know where this repeatbutton -repeatbutton is...

woensdag 10 augustus 2005 13:13

Acties:

Hennio

Topicstarter

Wow, aardig wat reakties en een hele hoop info. Thx! Ik probeer op iedereen een beetje antwoord te geven.

Ik gebuik de shell van webmin.

Als ik naar de eigenaar kijk van de bestanden staat deze op root. De tijdstip van deze bestanden staat op een paar minuten voordat ik erachter kwam (vanochtend). Mijn xfer-log is leeg. De message-log geeft een hele hoop weer. Ik zie in ieder geval dat de hele nacht log-entries zijn op mijn root account, of zorgt de server zelf voor deze log-entries?

Ik heb gezocht op .bash_history. Deze vond ik in de root-dir en gaf alleen mijn commando's weer.

Ik heb geen apache draaien. Wel heb ik diverse poorten openstaan volgens shields-up (GRC.com), FTP, SSH, SMTP en NetBIOS. Ik zal de laatste 3 meteen dichtknallen. Ik was het al van plan, maar ik heb onderschat hoe snel er al misbruik van zou worden gemaakt

.

locate ftp | grep log kom ik uit op \var\logrotate.d\proftpd, maar dat geeft niets relevants.

Ik zal de rechten bij de root vandaan halen en een gebruiker aanmaken met de ftp-rechten.

Doelman: Ik heb nu

code:

1
2
3

ExtendedLog /var/log/proftpd/ftp.log read,write
SystemLog /var/log/proftpd/error
TransferLog /var/log/proftpd/transfers

in mijn conf gezet.

Ik gebruik ClarkConnect vanwege het feit dat ik ergens had gelezen dat hij uitermate geschikt was voor een printserver. Ik heb wel al wat geexperimenteerd met Debian, Mandrake en Ubuntu, nu wilde ik ClarkConnect eens proberen. Daarbij wilde ik meteen experimenteren met eigen servers, maar ik kan beter niet met alles tegelijk experimenteren

.

Dank voor alle reakties, ik begrijp nu dat er geen log-entries zijn gemaakt omdat ik dat in mijn conf had moeten zetten. Helaas.

woensdag 10 augustus 2005 13:22

Acties:

Gerco

Professional Newbie

SSH zou ik niet dichtknallen. Als ik het goed heb is de shell van webmin een Java SSH client, dus dan kun je er niet meer in.

- "Als ik zou willen dat je het begreep, legde ik het wel beter uit!" | All number systems are base 10!

woensdag 10 augustus 2005 13:23

Acties:

deepbass909

[☼☼] [:::][:::] [☼☼]

Je systeem zal NOOIT als root inloggen. De enige die dat kan is de root (jij dus). Als je succesvolle root logins hebt op een moment dat jij zelf niet bezig was, dan wordt het tijd je hele systeem opnieuw te installeren. De hacker is namelijk echt bij je binnen geweest.

Daarnaast zijn met name SMTP, FTP en Netbios gevaarlijke poort om open te hebben naar de buiten wereld. SSH kan over het algemeen geen kwaad, al zul je wel veel probeerpogingen hebben daarop.

@Gerco
webmin loopt standaard over poort 10000. Webmin heeft SSH niet nodig om te kunnen functioneren. Je verward het waarschijnlijk met SSL, wat voor de encryptie wordt gebruikt.

[ Voor 17% gewijzigd door deepbass909 op 10-08-2005 13:25 ]

Waarschuwing, opperprutser aan het werk... en als je een opmerking van mij niet snapt, klik dan hier

woensdag 10 augustus 2005 13:30

Acties:

Gerco

Professional Newbie

Ik bedoelde de command shell die je vanuit webmin kan opstarten, dat is een Java SSH client. Als je SSH dus dichtgooit, zal die niet meer werken. De rest van Webmin uiteraard wel.

- "Als ik zou willen dat je het begreep, legde ik het wel beter uit!" | All number systems are base 10!

woensdag 10 augustus 2005 13:41

Acties:

deepbass909

[☼☼] [:::][:::] [☼☼]

dat klopt ja, daar heb ik hier helaas last van (hier op mijn werk wordt poort 22 geblokt...)

Waarschuwing, opperprutser aan het werk... en als je een opmerking van mij niet snapt, klik dan hier

woensdag 10 augustus 2005 14:38

Acties:

deadinspace

The what goes where now?

Hennio schreef op woensdag 10 augustus 2005 @ 10:58:
Sinds kort heb ik een linux-ftpserver draaien. Nu merk ik dat er 3 bestanden zijn geupload (sommige met virus), zonder dat anonimous-users kunnen uploaden.

Waar zijn deze bestanden geupload? In welke directory staan ze?

De enige die kan uploaden ben ik (root).

Als root (of zelfs maar als user) FTPen is onverstandig. Bij FTP gaan je username en password plain-text over het netwerk (dus over het internet als je bijvoorbeeld vanaf je werk FTP-t naar thuis), dus als je pech hebt worden die onderschept. Gebruik voor dit soort dingen liever scp, of kijk anders eens naar sftp

woensdag 10 augustus 2005 15:03

Acties:

Verwijderd

Hennio schreef op woensdag 10 augustus 2005 @ 13:13:
Wow, aardig wat reakties en een hele hoop info. Thx! Ik probeer op iedereen een beetje antwoord te geven.

Ik gebuik de shell van webmin.

Als ik naar de eigenaar kijk van de bestanden staat deze op root. De tijdstip van deze bestanden staat op een paar minuten voordat ik erachter kwam (vanochtend). Mijn xfer-log is leeg. De message-log geeft een hele hoop weer. Ik zie in ieder geval dat de hele nacht log-entries zijn op mijn root account, of zorgt de server zelf voor deze log-entries?

Ik heb gezocht op .bash_history. Deze vond ik in de root-dir en gaf alleen mijn commando's weer.

Ik heb geen apache draaien. Wel heb ik diverse poorten openstaan volgens shields-up (GRC.com), FTP, SSH, SMTP en NetBIOS. Ik zal de laatste 3 meteen dichtknallen. Ik was het al van plan, maar ik heb onderschat hoe snel er al misbruik van zou worden gemaakt .

locate ftp | grep log kom ik uit op \var\logrotate.d\proftpd, maar dat geeft niets relevants.

Ik zal de rechten bij de root vandaan halen en een gebruiker aanmaken met de ftp-rechten.

Doelman: Ik heb nu
code:
1
2
3
ExtendedLog /var/log/proftpd/ftp.log read,write
SystemLog /var/log/proftpd/error
TransferLog /var/log/proftpd/transfers
in mijn conf gezet.

Ik gebruik ClarkConnect vanwege het feit dat ik ergens had gelezen dat hij uitermate geschikt was voor een printserver. Ik heb wel al wat geexperimenteerd met Debian, Mandrake en Ubuntu, nu wilde ik ClarkConnect eens proberen. Daarbij wilde ik meteen experimenteren met eigen servers, maar ik kan beter niet met alles tegelijk experimenteren .

Dank voor alle reakties, ik begrijp nu dat er geen log-entries zijn gemaakt omdat ik dat in mijn conf had moeten zetten. Helaas.

Download eens chkrootkit en controleer of er een rootkit geinstalleerd is.

Ik zou de server opnieuw installeren van een CD die je vertrouwt, je configuratie files kun je bewaren als je zeker weet dat niet mee is gerommeld , je weet nooit wat die hacker allemaal uitgespookt op je systeem , je weet zelfs niet hoe hij binnen is gekomen, hij heeft het root password. De logfiles kan hij zelf verwijderd of de history kan hij aangepast hebben Haal die server van internet af en onderzoek wat er gebeurd is en installeer daarna die server opnieuw.

Root moet eigenlijk helemaal niet kunnen inloggen op je systeem, behalve op de console, niet via ssh of ftp, etc. Heb je webmin goed beveilligd, dat je alleen op je locale netwerk verbinding kunt maken met Webmin. Ik zou het systeem via iptables goed beveiligen en alleen poorten opzetten die extern open moet zijn. Als je systeem geinstalleerd is, daarna Tripwire installeren , via Tripwire kun je zien of er met de files gerommeld is. Daarna pas het systeem aansluiten op het internet.

En gaan lezen, er zijn genoeg howto's op internet hoe je Linux server goed beveiligd, ik heb even geen zin om die op te zoeken.

woensdag 10 augustus 2005 15:10

Acties:

doelman

http://www.mrleejohn.nl/linux-security.htm

Mijn pianomuziek: http://www.youtube.com/user/doelman

woensdag 10 augustus 2005 17:13

Acties:

Hennio

Topicstarter

deadinspace schreef op woensdag 10 augustus 2005 @ 14:38:
[...]

Waar zijn deze bestanden geupload? In welke directory staan ze?

[...]

Als root (of zelfs maar als user) FTPen is onverstandig. Bij FTP gaan je username en password plain-text over het netwerk (dus over het internet als je bijvoorbeeld vanaf je werk FTP-t naar thuis), dus als je pech hebt worden die onderschept. Gebruik voor dit soort dingen liever scp, of kijk anders eens naar sftp

de bestanden staan in /var/ftp

Ik ga mij inderdaad in de howto's storten, de boel is tot dan offline...

bedankt voor de tips!