W2k Server FTP angriffe

[michael baum 10]

hallo

 

ich habe hier ein kleineres problem mit erfolgreichen logins von benutzern die eigentlich nie eingerichtet wurden.das ganze erfolgt via IIS auf FTP.der angreifer versucht anfangs standard benutzernamen zu knacken und im anschluss schafft er es sich mit einem nicht existierenden benutzernamen tatsaechlich zu verbinden!das FTP log zeigt hierbei weiterhin 530(ben/pass falsch) obwohl der user als aktive verbindung angezeigt wird und ebenso ein transfer besteht.ich kann mir das nicht ganz erklaeren vielleicht kennt ihr dieses problem beim IIS 5?

 

ist das ein bekanntes sicherheits loch?updates konnte ich nicht finden?

 

falls die frage kommen sollte...ein gastkonto ist nicht vorhanden etc.der FTP laesst keine anonuemen verbindungen zu.

 

vielen dank fuer die hilfe im voraus

[StefanWe 14]

kannst du mal die Logs hier reinstellen ?

[michael baum 10]

@snoopy

 

hier mal ein sehr kleiner auszug.

 

#Software: Microsoft Internet Information Services 5.0

#Version: 1.0

#Date: 2010-02-19 23:00:00

#Fields: date time c-ip cs-username s-sitename s-computername s-ip s-port cs-method cs-uri-stem cs-uri-query sc-status sc-win32-status sc-bytes cs-bytes time-taken cs-version cs-host cs(User-Agent) cs(Cookie) cs(Referer)

2010-02-19 23:00:00 60.217.229.220 administrator MSFTPSVC1 DATACENTER 192.168.111.222 21 [77]USER administrator - 331 0 0 0 0 FTP - - - -

2010-02-19 23:00:00 60.217.229.220 - MSFTPSVC1 DATACENTER 192.168.111.222 21 [77]PASS - - 530 1326 0 0 0 FTP - - - -

2010-02-19 23:00:00 60.217.229.220 administrator MSFTPSVC1 DATACENTER 192.168.111.222 21 [77]USER administrator - 331 0 0 0 0 FTP - - - -

2010-02-19 23:00:01 60.217.229.220 - MSFTPSVC1 DATACENTER 192.168.111.222 21 [77]PASS - - 530 1326 0 0 0 FTP - - - -

2010-02-19 23:00:01 60.217.229.220 administrator MSFTPSVC1 DATACENTER 192.168.111.222 21 [77]USER administrator - 331 0 0 0 0 FTP - - - -

2010-02-19 23:00:01 60.217.229.220 - MSFTPSVC1 DATACENTER 192.168.111.222 21 [77]PASS - - 530 1326 0 0 0 FTP - - - -

2010-02-19 23:00:03 60.217.229.220 administrator MSFTPSVC1 DATACENTER 192.168.111.222 21 [77]USER administrator - 331 0 0 0 0 FTP - - - -

2010-02-19 23:00:03 60.217.229.220 - MSFTPSVC1 DATACENTER 192.168.111.222 21 [77]PASS - - 530 1326 0 0 0 FTP - - - -

2010-02-19 23:00:03 60.217.229.220 administrator MSFTPSVC1 DATACENTER 192.168.111.222 21 [77]USER administrator - 331 0 0 0 0 FTP - - - -

2010-02-19 23:00:04 60.217.229.220 - MSFTPSVC1 DATACENTER 192.168.111.222 21 [77]PASS - - 530 1326 0 0 0 FTP - - - -

2010-02-19 23:00:04 60.217.229.220 administrator MSFTPSVC1 DATACENTER 192.168.111.222 21 [77]USER administrator - 331 0 0 0 0 FTP - - - -

2010-02-19 23:00:04 60.217.229.220 - MSFTPSVC1 DATACENTER 192.168.111.222 21 [77]PASS - - 530 1326 0 0 0 FTP - - - -

2010-02-19 23:00:05 60.217.229.220 administrator MSFTPSVC1 DATACENTER 192.168.111.222 21 [77]USER administrator - 331 0 0 0 0 FTP - - - -

 

XXX

 

2010-02-21 21:35:05 60.217.229.228 info MSFTPSVC1 DATACENTER 192.168.111.222 21 [85]USER info - 331 0 0 0 0 FTP - - - -

2010-02-21 21:35:05 60.217.229.228 - MSFTPSVC1 DATACENTER 192.168.111.222 21 [85]PASS - - 530 1326 0 0 0 FTP - - - -

2010-02-21 21:35:07 60.217.229.228 info MSFTPSVC1 DATACENTER 192.168.111.222 21 [85]USER info - 331 0 0 0 0 FTP - - - -

2010-02-21 21:35:07 60.217.229.228 - MSFTPSVC1 DATACENTER 192.168.111.222 21 [85]PASS - - 530 1326 0 0 0 FTP - - - -

2010-02-21 21:35:07 60.217.229.228 info MSFTPSVC1 DATACENTER 192.168.111.222 21 [85]USER info - 331 0 0 0 0 FTP - - - -

2010-02-21 21:35:08 60.217.229.228 - MSFTPSVC1 DATACENTER 192.168.111.222 21 [85]PASS - - 530 1326 0 0 0 FTP - - - -

2010-02-21 21:35:08 60.217.229.228 info MSFTPSVC1 DATACENTER 192.168.111.222 21 [85]USER info - 331 0 0 0 0 FTP - - - -

 

danach hatte der user eine session mit dem user "info" als ich diesen rausgeworfen hatte, hatte der user eine session mit KEINEM usernamen?!?

 

ereignisanzeige zeigt hierbei nur fehlerhafte anmeldungen.

 

ps:gibt es eine möglichkeit user automatisch via ip zu sperren wenn mehrere fehlanmeldungen vorhanden sind?so wie die lokalen anmeldungen?

[michael baum 10]

nachtrag->

 

warum steht eigentlich immer ein "pass" oder "user" hinter der (85)??

 

der user "info" existiert nicht auf dieser maschine!

 

2010-02-21 21:35:08 60.217.229.228 - MSFTPSVC1 DATACENTER 192.168.111.222 21 [85]PASS - - 530 1326 0 0 0 FTP - - - -

2010-02-21 21:35:08 60.217.229.228 info MSFTPSVC1 DATACENTER 192.168.111.222 21 [85]USER info - 331 0 0 0 0 FTP - - - -

[Dr.Melzer 191]

Steht der Server direkt im Internet oder ist da eine firewall dazwischen?

[michael baum 10]

sorry nachtrag nr. 2

 

# 331 User name okay, need password. (Benutzername OK, Kennwort erforderlich)

# 332 Need account for login. (Benutzerkonto zur Anmeldung erforderlich)

 

wobei ich herausfinden konnte das ein 331 auch ein 332 sein soll?!?

 

wie schon gesagt gibt es den user "info" nicht warum kann dieser dann einen 331 bekommen?

[michael baum 10]

firewall dazwischen! ausschließlich port 21 ist offen

[michael baum 10]

keiner hat eine idee wonach ich suchen könnte um den fehler zu finden?

 

->gibt es eine möglichkeit fehlanmeldungen auf IIS 5 so zu konfigurieren das nach x fehlanmeldungen der user via ip komplett ausgeschlossen wird?oder vielleicht eine andere idee?

[zahni 574]

No, das ist nicht die Aufgabe eines Web- oder FTP-Servers.

 

Außerdem solltest Du einen Windows 2000-Server nicht ans Internet hängen.

 

-Zahni

[michael baum 10]

warum sollte ich einen 2000-server nicht ans internet hängen.sicherlich ist das keine gute wahl...

 

allerdings denke ich nicht das 2003 oder 2008 viel besser sein wird oder sehe ich das falsch?

 

oder wollt ihr mir nun sagen das microsoft generell nicht in der lage ist einen funktionierenden ftp server bereit zu stellen?

[XP-Fan 227]

warum sollte ich einen 2000-server nicht ans internet hängen.sicherlich ist das keine gute wahl...

 

.... weil jedes Programm Sicherheitslücken hat und im Gegensatz zu W2k3 / W2k8

werden diese bei Win2k nicht mehr behoben da der Support ausgelaufen ist.

[Dr.Melzer 191]

warum sollte ich einen 2000-server nicht ans internet hängen.sicherlich ist das keine gute wahl...

 

oder wollt ihr mir nun sagen das microsoft generell nicht in der lage ist einen funktionierenden ftp server bereit zu stellen?

 

Ich denke eher dass du generell nicht in der Lage bist die Folgen deines handelns abschätzen zu können....

 

Den FTP Server hat Microsoft im griff und stellt da eine sehr gute Lössung bereit. Nur für die Leute die ihn dann adminsitrieren und betreiben kann Microsoft nicht verantwortlich sein.

 

Vielleicht solltest du so etwas von einem Dienstleister ausführen lassen der sich damit auskennt ...

[michael baum 10]

herr dr. melzer..

 

sagen wir mal dieser rechner sei ein honeypot und soll nichts anderes darstellen.die daten darauf sind generell nicht wichtig.

 

was sie denken spielt ja hier fuer mich keine grosse rolle aber was sie wissen waere von interesse.

wie wuerden sie verfahren wenn sie gezwungen sein wuerden einen w2k server fuer ftp zu nutzen und sie stellen fest das es sich so wie schon erklaert verhaelt?ein paar anmachen vom stapel zu lassen ist doch hier nicht angebracht oder wie sehen sie das?sie sind doch auch nicht als dr. vom himmel gefallen oder vielleicht doch...

 

XP-FAN

ja ich dachte der support fuer w2k sei erst 13. Juli 2010. vorbei.ich werde testweise eine w2k3 als vm testen...

aber es ging einfach nur darum nach dem fehler zu suchen....

um etwas zu lernen koennte man sagen

[Dr.Melzer 191]

sagen wir mal dieser rechner sei ein honeypot und soll nichts anderes darstellen.

 

Na das ist doch klasse. Dann erfüllt er seinen Zweck und wird angegeriffen.

 

Somit past alles und der Thread kan geschlossen werden weil es kein Problem mehr gibt (Die Angriffe erfolgen auf einem Honeypot für was er ja gedacht ist).

 

Vielen dank für dein verständnis.