.titleBar { margin-bottom: 5px!important; }

Verwendete Passwörter mitprotokolieren

Dieses Thema im Forum "Freetz" wurde erstellt von it-fisi, 21 Feb. 2009.

  1. it-fisi

    it-fisi Mitglied

    Registriert seit:
    13 Aug. 2005
    Beiträge:
    421
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Beruf:
    IT Fachinformatiker
    Ort:
    Earth
    Hallo,

    ich sehe immer öfter solche Einträge in meinem Logfile vom vsftpd Server.

    Gibt es eine Möglichkeit die verwendete Passwörter mit zu protokolieren,
    es würde mich interessieren welche Passwörter für den Loginversuch verwendet wurden.
    Der Login für root und ftpuser ist unter Zugriff bei mir deaktiviert, es dürfen sich nur Lokale Benutzer und chroot jail anmelden.
    Laut visualroute stammen die IP´s aus China und den USA. :confused:

    Gruß Peter

    Auszug Logfile - vsftpd:
    [Edit frank_m24: Bitte benutzt CODE Tags für solche Ausgaben.]
    Code:
    Wed Feb 18 02:34:35 2009 [pid 1495] CONNECT: Client "88.80.223.152"
    Wed Feb 18 02:34:35 2009 [pid 1495] FTP response: Client "88.80.223.152", "220-   __  _   __  __ ___ __"
    Wed Feb 18 02:34:35 2009 [pid 1495] FTP response: Client "88.80.223.152", "220-  |__ |_) |__ |__  |   /"
    Wed Feb 18 02:34:35 2009 [pid 1495] FTP response: Client "88.80.223.152", "220-  |   |\  |__ |__  |  /_"
    Wed Feb 18 02:34:35 2009 [pid 1495] FTP response: Client "88.80.223.152", "220-"
    Wed Feb 18 02:34:35 2009 [pid 1495] FTP response: Client "88.80.223.152", "220-   The fun has just begun..."
    Wed Feb 18 02:34:35 2009 [pid 1495] FTP response: Client "88.80.223.152", "220 "
    Sat Feb 21 05:41:34 2009 [pid 1740] CONNECT: Client "124.118.247.8"
    Sat Feb 21 05:41:34 2009 [pid 1740] FTP response: Client "124.118.247.8", "220-   __  _   __  __ ___ __"
    Sat Feb 21 05:41:34 2009 [pid 1740] FTP response: Client "124.118.247.8", "220-  |__ |_) |__ |__  |   /"
    Sat Feb 21 05:41:34 2009 [pid 1740] FTP response: Client "124.118.247.8", "220-  |   |\  |__ |__  |  /_"
    Sat Feb 21 05:41:34 2009 [pid 1740] FTP response: Client "124.118.247.8", "220-"
    Sat Feb 21 05:41:34 2009 [pid 1740] FTP response: Client "124.118.247.8", "220-   The fun has just begun..."
    Sat Feb 21 05:41:34 2009 [pid 1740] FTP response: Client "124.118.247.8", "220 "
    Sat Feb 21 05:41:34 2009 [pid 1740] FTP command: Client "124.118.247.8", "USER oracle"
    Sat Feb 21 05:41:34 2009 [pid 1740] [oracle] FTP response: Client "124.118.247.8", "331 Please specify the password."
    Sat Feb 21 05:41:35 2009 [pid 1740] [oracle] FTP command: Client "124.118.247.8", "USER oracle"
    Sat Feb 21 05:41:35 2009 [pid 1740] [oracle] FTP response: Client "124.118.247.8", "331 Please specify the password."
    Sat Feb 21 05:41:35 2009 [pid 1740] [oracle] FTP command: Client "124.118.247.8", "USER oracle"
    Sat Feb 21 05:41:35 2009 [pid 1740] [oracle] FTP response: Client "124.118.247.8", "331 Please specify the password."
    Sat Feb 21 05:41:35 2009 [pid 1740] [oracle] FTP command: Client "124.118.247.8", "PASS <password>"
    Sat Feb 21 05:41:35 2009 [pid 1739] [oracle] FAIL LOGIN: Client "124.118.247.8"
    Sat Feb 21 05:42:35 2009 [pid 1740] [oracle] FTP response: Client "124.118.247.8", "530 Login incorrect."
    Sat Feb 21 05:42:35 2009 [pid 1740] FTP command: Client "124.118.247.8", "PASS <password>"
    
    
    Sat Feb 21 10:08:28 2009 [pid 317] CONNECT: Client "124.118.247.8"
    Sat Feb 21 10:08:28 2009 [pid 317] FTP response: Client "124.118.247.8", "220-   __  _   __  __ ___ __"
    Sat Feb 21 10:08:28 2009 [pid 317] FTP response: Client "124.118.247.8", "220-  |__ |_) |__ |__  |   /"
    Sat Feb 21 10:08:28 2009 [pid 317] FTP response: Client "124.118.247.8", "220-  |   |\  |__ |__  |  /_"
    Sat Feb 21 10:08:28 2009 [pid 317] FTP response: Client "124.118.247.8", "220-"
    Sat Feb 21 10:08:28 2009 [pid 317] FTP response: Client "124.118.247.8", "220-   The fun has just begun..."
    Sat Feb 21 10:08:28 2009 [pid 317] FTP response: Client "124.118.247.8", "220 "
    Sat Feb 21 10:08:28 2009 [pid 317] FTP command: Client "124.118.247.8", "USER ftp"
    Sat Feb 21 10:08:28 2009 [pid 317] [ftp] FTP response: Client "124.118.247.8", "331 Please specify the password."
    Sat Feb 21 10:08:28 2009 [pid 317] [ftp] FTP command: Client "124.118.247.8", "USER ftp"
    Sat Feb 21 10:08:28 2009 [pid 317] [ftp] FTP response: Client "124.118.247.8", "331 Please specify the password."
    Sat Feb 21 10:08:29 2009 [pid 317] [ftp] FTP command: Client "124.118.247.8", "USER ftp"
    Sat Feb 21 10:08:29 2009 [pid 317] [ftp] FTP response: Client "124.118.247.8", "331 Please specify the password."
    Sat Feb 21 10:08:29 2009 [pid 317] [ftp] FTP command: Client "124.118.247.8", "PASS <password>"
    Sat Feb 21 10:08:29 2009 [pid 316] [ftp] FAIL LOGIN: Client "124.118.247.8"
    Sat Feb 21 10:09:29 2009 [pid 317] [ftp] FTP response: Client "124.118.247.8", "530 Login incorrect."
    Sat Feb 21 10:09:29 2009 [pid 317] FTP command: Client "124.118.247.8", "PASS <password>"
    Sat Feb 21 10:09:29 2009 [pid 317] FTP response: Client "124.118.247.8", "503 Login with USER first."
    Sat Feb 21 10:09:29 2009 [pid 317] FTP command: Client "124.118.247.8", "PASS <password>"
    Sat Feb 21 10:09:29 2009 [pid 317] FTP response: Client "124.118.247.8", "503 Login with USER first."
    Sat Feb 21 10:09:29 2009 [pid 317] FTP command: Client "124.118.247.8", "USER ftp"
    Sat Feb 21 10:09:29 2009 [pid 317] [ftp] FTP response: Client "124.118.247.8", "331 Please specify the password."
    Sat Feb 21 10:09:30 2009 [pid 320] CONNECT: Client "124.118.247.8"
     
  2. Silent-Tears

    Silent-Tears IPPF-Promi

    Registriert seit:
    3 Aug. 2007
    Beiträge:
    7,456
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ort:
    BI
    Hat denn der vsftpd diese Option? Denn dann kann man das denk ich im Freetz implementieren, wenn man mag.

    Dennoch ist Freetz da nicht die Anlaufstelle, sondern der vsftpd ;)
     
  3. hermann72pb

    hermann72pb IPPF-Promi

    Registriert seit:
    6 Nov. 2005
    Beiträge:
    3,564
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Und was soll es bringen, dass du die Passwörter kennst? Die werden wohl aus der bekannten Reihe stammen "password", "pass123", "bill" usw. Port 21 ist genauso für solche Attacken anfällig, wie 22. Also entweder verlegen, oder irgendwelche Massnahmen dagegen unternehmen.

    MfG
     
  4. it-fisi

    it-fisi Mitglied

    Registriert seit:
    13 Aug. 2005
    Beiträge:
    421
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Beruf:
    IT Fachinformatiker
    Ort:
    Earth
    das ist es ja gerade, Einstellmöglichkeiten habe ich im vsftpd nicht gefunden und
    so wollte ich nachfragen ob jemand weiß, ob und wie es gehen könnte.

    Nun was soll es mir bringen, in erster Linie nur reines Interesse welche Passwörter wirklich probiert werden
    In zweiter Linie, möchte ich mehr Info´s über demjenigen erfahren, der sich an meinen Sachen zu schaffen macht ... usw.

    Aber was soll es dem Angreifer bringen, sich auf meinem FTP Server unerlaubt einzulogen ? Er wird verwundert sein, was er dort findet - nämlich nix.
    Es gibt nur zwei Benutzerordner und die sind beide leer.

    Ok - es ist nicht super wichtig - aber mich Interessiert es

    Peter
     
  5. RiVen

    RiVen Aktives Mitglied

    Registriert seit:
    17 Juli 2005
    Beiträge:
    1,918
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ort:
    Bocholt
    Im FTP-Server-Logg (FTP command: Client "124.118.247.8", "PASS <password>") wird das verwendete Paßwort ja absichtlich mit "<password>" unkenntlich gemacht.
    Mit dem "FRITZ!Box Paketmitschnitt" kannst du auf DSL-Ebene mitschneiden. Da müßtest du die Paßwörter im Klartext mitlesen können.
     
  6. zirkon

    zirkon Aktives Mitglied

    Registriert seit:
    12 Aug. 2008
    Beiträge:
    906
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Um diese Logins zu unterbinden kannst du ja SSL verwenden oder gar mit tcp_wrappers arbeiten. Oder eben nur den Port ändern. Hilft in den meisten Fällen am schnellsten :)