Verwendete Passwörter mitprotokolieren

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
it-fisi

it-fisi

Mitglied
Mitglied seit
13 Aug 2005
Beiträge
439
Punkte für Reaktionen
0
Punkte
16
Hallo,

ich sehe immer öfter solche Einträge in meinem Logfile vom vsftpd Server.

Gibt es eine Möglichkeit die verwendete Passwörter mit zu protokolieren,
es würde mich interessieren welche Passwörter für den Loginversuch verwendet wurden.
Der Login für root und ftpuser ist unter Zugriff bei mir deaktiviert, es dürfen sich nur Lokale Benutzer und chroot jail anmelden.
Laut visualroute stammen die IP´s aus China und den USA. :confused:

Gruß Peter

Auszug Logfile - vsftpd:
[Edit frank_m24: Bitte benutzt CODE Tags für solche Ausgaben.]
Code: 
Wed Feb 18 02:34:35 2009 [pid 1495] CONNECT: Client "88.80.223.152"
Wed Feb 18 02:34:35 2009 [pid 1495] FTP response: Client "88.80.223.152", "220-   __  _   __  __ ___ __"
Wed Feb 18 02:34:35 2009 [pid 1495] FTP response: Client "88.80.223.152", "220-  |__ |_) |__ |__  |   /"
Wed Feb 18 02:34:35 2009 [pid 1495] FTP response: Client "88.80.223.152", "220-  |   |\  |__ |__  |  /_"
Wed Feb 18 02:34:35 2009 [pid 1495] FTP response: Client "88.80.223.152", "220-"
Wed Feb 18 02:34:35 2009 [pid 1495] FTP response: Client "88.80.223.152", "220-   The fun has just begun..."
Wed Feb 18 02:34:35 2009 [pid 1495] FTP response: Client "88.80.223.152", "220 "
Sat Feb 21 05:41:34 2009 [pid 1740] CONNECT: Client "124.118.247.8"
Sat Feb 21 05:41:34 2009 [pid 1740] FTP response: Client "124.118.247.8", "220-   __  _   __  __ ___ __"
Sat Feb 21 05:41:34 2009 [pid 1740] FTP response: Client "124.118.247.8", "220-  |__ |_) |__ |__  |   /"
Sat Feb 21 05:41:34 2009 [pid 1740] FTP response: Client "124.118.247.8", "220-  |   |\  |__ |__  |  /_"
Sat Feb 21 05:41:34 2009 [pid 1740] FTP response: Client "124.118.247.8", "220-"
Sat Feb 21 05:41:34 2009 [pid 1740] FTP response: Client "124.118.247.8", "220-   The fun has just begun..."
Sat Feb 21 05:41:34 2009 [pid 1740] FTP response: Client "124.118.247.8", "220 "
Sat Feb 21 05:41:34 2009 [pid 1740] FTP command: Client "124.118.247.8", "USER oracle"
Sat Feb 21 05:41:34 2009 [pid 1740] [oracle] FTP response: Client "124.118.247.8", "331 Please specify the password."
Sat Feb 21 05:41:35 2009 [pid 1740] [oracle] FTP command: Client "124.118.247.8", "USER oracle"
Sat Feb 21 05:41:35 2009 [pid 1740] [oracle] FTP response: Client "124.118.247.8", "331 Please specify the password."
Sat Feb 21 05:41:35 2009 [pid 1740] [oracle] FTP command: Client "124.118.247.8", "USER oracle"
Sat Feb 21 05:41:35 2009 [pid 1740] [oracle] FTP response: Client "124.118.247.8", "331 Please specify the password."
Sat Feb 21 05:41:35 2009 [pid 1740] [oracle] FTP command: Client "124.118.247.8", "PASS <password>"
Sat Feb 21 05:41:35 2009 [pid 1739] [oracle] FAIL LOGIN: Client "124.118.247.8"
Sat Feb 21 05:42:35 2009 [pid 1740] [oracle] FTP response: Client "124.118.247.8", "530 Login incorrect."
Sat Feb 21 05:42:35 2009 [pid 1740] FTP command: Client "124.118.247.8", "PASS <password>"


Sat Feb 21 10:08:28 2009 [pid 317] CONNECT: Client "124.118.247.8"
Sat Feb 21 10:08:28 2009 [pid 317] FTP response: Client "124.118.247.8", "220-   __  _   __  __ ___ __"
Sat Feb 21 10:08:28 2009 [pid 317] FTP response: Client "124.118.247.8", "220-  |__ |_) |__ |__  |   /"
Sat Feb 21 10:08:28 2009 [pid 317] FTP response: Client "124.118.247.8", "220-  |   |\  |__ |__  |  /_"
Sat Feb 21 10:08:28 2009 [pid 317] FTP response: Client "124.118.247.8", "220-"
Sat Feb 21 10:08:28 2009 [pid 317] FTP response: Client "124.118.247.8", "220-   The fun has just begun..."
Sat Feb 21 10:08:28 2009 [pid 317] FTP response: Client "124.118.247.8", "220 "
Sat Feb 21 10:08:28 2009 [pid 317] FTP command: Client "124.118.247.8", "USER ftp"
Sat Feb 21 10:08:28 2009 [pid 317] [ftp] FTP response: Client "124.118.247.8", "331 Please specify the password."
Sat Feb 21 10:08:28 2009 [pid 317] [ftp] FTP command: Client "124.118.247.8", "USER ftp"
Sat Feb 21 10:08:28 2009 [pid 317] [ftp] FTP response: Client "124.118.247.8", "331 Please specify the password."
Sat Feb 21 10:08:29 2009 [pid 317] [ftp] FTP command: Client "124.118.247.8", "USER ftp"
Sat Feb 21 10:08:29 2009 [pid 317] [ftp] FTP response: Client "124.118.247.8", "331 Please specify the password."
Sat Feb 21 10:08:29 2009 [pid 317] [ftp] FTP command: Client "124.118.247.8", "PASS <password>"
Sat Feb 21 10:08:29 2009 [pid 316] [ftp] FAIL LOGIN: Client "124.118.247.8"
Sat Feb 21 10:09:29 2009 [pid 317] [ftp] FTP response: Client "124.118.247.8", "530 Login incorrect."
Sat Feb 21 10:09:29 2009 [pid 317] FTP command: Client "124.118.247.8", "PASS <password>"
Sat Feb 21 10:09:29 2009 [pid 317] FTP response: Client "124.118.247.8", "503 Login with USER first."
Sat Feb 21 10:09:29 2009 [pid 317] FTP command: Client "124.118.247.8", "PASS <password>"
Sat Feb 21 10:09:29 2009 [pid 317] FTP response: Client "124.118.247.8", "503 Login with USER first."
Sat Feb 21 10:09:29 2009 [pid 317] FTP command: Client "124.118.247.8", "USER ftp"
Sat Feb 21 10:09:29 2009 [pid 317] [ftp] FTP response: Client "124.118.247.8", "331 Please specify the password."
Sat Feb 21 10:09:30 2009 [pid 320] CONNECT: Client "124.118.247.8"
 
Hat denn der vsftpd diese Option? Denn dann kann man das denk ich im Freetz implementieren, wenn man mag.

Dennoch ist Freetz da nicht die Anlaufstelle, sondern der vsftpd ;)
 
Und was soll es bringen, dass du die Passwörter kennst? Die werden wohl aus der bekannten Reihe stammen "password", "pass123", "bill" usw. Port 21 ist genauso für solche Attacken anfällig, wie 22. Also entweder verlegen, oder irgendwelche Massnahmen dagegen unternehmen.

MfG
 
das ist es ja gerade, Einstellmöglichkeiten habe ich im vsftpd nicht gefunden und
so wollte ich nachfragen ob jemand weiß, ob und wie es gehen könnte.

Nun was soll es mir bringen, in erster Linie nur reines Interesse welche Passwörter wirklich probiert werden
In zweiter Linie, möchte ich mehr Info´s über demjenigen erfahren, der sich an meinen Sachen zu schaffen macht ... usw.

Aber was soll es dem Angreifer bringen, sich auf meinem FTP Server unerlaubt einzulogen ? Er wird verwundert sein, was er dort findet - nämlich nix.
Es gibt nur zwei Benutzerordner und die sind beide leer.

Ok - es ist nicht super wichtig - aber mich Interessiert es

Peter
 
Im FTP-Server-Logg (FTP command: Client "124.118.247.8", "PASS <password>") wird das verwendete Paßwort ja absichtlich mit "<password>" unkenntlich gemacht.
Mit dem "FRITZ!Box Paketmitschnitt" kannst du auf DSL-Ebene mitschneiden. Da müßtest du die Paßwörter im Klartext mitlesen können.
 
Um diese Logins zu unterbinden kannst du ja SSL verwenden oder gar mit tcp_wrappers arbeiten. Oder eben nur den Port ändern. Hilft in den meisten Fällen am schnellsten :)
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 654 (Mitglieder: 51, Gäste: 603)

Neueste Beiträge

Statistik des Forums

Themen
246,292
Beiträge
2,249,513
Mitglieder
373,886
Neuestes Mitglied
meister_yoda
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück