Unauthorisierte Zugriffe

Schishu_5f4521 · 10. November 2019 um 18:14

Hi Leute,

also ich habe ein kleines Problem mit meinem FTP Server.
Ich benutze Gene6 Ftp Server.

Der Server wird ausschließlich Privat benutzt um Dokumente und Bilder
mit Freunden zu teilen da wir nicht auf die lahmen Dienste von Messengern zurückgreifen wollen!

Nun habe ich 6 Accounts eingerichtet die nur beschränkten Zugriff haben auf nur bestimmte Ordner. Dennoch kommt es manchmal vor das sich jmd. namens Administrator einlogged obwohl ich diesen Account nicht verwende! Nachdem ich dieses in der log beobachtet habe legte ich einen Account Namens Administrator an und ordnete ihm ein 12-stelliges Passwort zu dennoch konnte ich ein weiteres Login feststellen. Zum glück habe ich in der Log keine weiteren Auffälligkeiten bemerken können was list befehle oder Ordner Einsicht angeht.

Meine Frage wäre gibt es im Gene6 versteckte Accounts die den Zugriff auf den Server möglich machen? Und ja wie kann ich das unterbinden.

Die Daten auf dem Server sind vertraulich und um das klar zu stellen sie sind nicht Illegal.

Ich wäre für jede Hilfe dankbar!

MFG Shishu

Andre_ebdd96 · 10. November 2019 um 18:14

Hi!

Wo hast du dieses Login festgestellt und was wurde genau gemacht? Hast du mal einen Auszug aus dem Log?
Kann ja auch sein, dass sich dieser Account mit der Website des Herstellers verbindet um Updates zu suchen.

Viele Grüße
André

Schishu_5f4521 · 10. November 2019 um 18:14

Hier mal ein kleiner Auszug

23, 208.53.158.47, Administrator, 331 Password required for Administrator.
09/02/19 09:38:47, 23, 208.53.158.47, Administrator, PASS ****
09/02/19 09:38:47, 23, 208.53.158.47, Administrator, login failed.
09/02/19 09:38:50, 23, 208.53.158.47, Administrator, 530 Service not available, closing control connection.
09/02/19 09:38:50, 23, 208.53.158.47, Administrator, disconnected. (00d00:00:10)
09/02/19 09:38:51, 24, 208.53.158.47, , new connection from 208.53.158.47 on **********
09/02/19 09:38:51, 24, 208.53.158.47, , hostname resolved : .
09/02/19 09:38:51, 24, 208.53.158.47, , sending welcome message.
09/02/19 09:38:51, 24, 208.53.158.47, , 220-Gene6 FTP Server v3.10.0 (Build 2) ready…
09/02/19 09:38:51, 24, 208.53.158.47, ,
09/02/19 09:38:51, 24, 208.53.158.47, , 220 Hi Leuts, viel Spaß beim stöbern…

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

deconstruct · 10. November 2019 um 18:15

23, 208.53.158.47, Administrator, 331 Password required for
Administrator.
09/02/19 09:38:47, 23, 208.53.158.47, Administrator, PASS ****
09/02/19 09:38:47, 23, 208.53.158.47, Administrator, login
failed.

Der Versuch des Einloggens ist her aber gescheitert. Woher willst du also wissen, ob sich da überhaupt jemals jemand erfolgreich mit diesem Account angemeldet hat? Aus dem von dir geposteten Log geht das auf jeden Fall nicht hervor.

Schishu_5f4521 · 10. November 2019 um 18:15

ich meinte den letzeren Abschnitt
wo der User selbst meine Login Message sehen kann!

Und ich sehe im Tray das sich jmd mit dem Namen Administrator eingelogged hat und gerade ist! Diesen User verpasste ich dann nen IP Ban mitlerweile stehen da 6 ip Adressen die gebanned sind!

Schishu_5f4521 · 10. November 2019 um 18:15

Ich denke mal das es einfach nu irgendwelche ip scanner sind!

Mal Anti-Hammering angeworfen mal schauen obs was bringt!

deconstruct · 10. November 2019 um 18:15

ich meinte den letzeren Abschnitt
wo der User selbst meine Login Message sehen kann!

Das habe ich schon gesehen. Also nochmal:

09/02/19 09:38:51, 24, 208.53.158.47, , new connection from
208.53.158.47 on **********
09/02/19 09:38:51, 24, 208.53.158.47, , hostname resolved : .
09/02/19 09:38:51, 24, 208.53.158.47, , sending welcome
message.
09/02/19 09:38:51, 24, 208.53.158.47, , 220-Gene6 FTP Server
v3.10.0 (Build 2) ready…
09/02/19 09:38:51, 24, 208.53.158.47, ,
09/02/19 09:38:51, 24, 208.53.158.47, , 220 Hi Leuts, viel

Das Welcome kommt VOR dem Login. Mach mal einfach Start -> Ausführen -> cmd.exe
und gib mal „telnet ip-deines-ftp-servers 21“ ein (natürlich ohne Anführungszeichen und mit der richtigen IP deines FTP-Servers).

Dann erscheint wohl auch diese Welcome-Nachricht.

Die Zahl vor den Ausgaben des Servers ist der FTP Status-Code. Die 220 bedeutet dass der Server bereit ist, damit du dich einloggen kannst. Ein erfolgreiches Einloggen wird durch den Status-Code 230 angezeigt (z.B. 230 User logged in, proceed.).

Und diese Meldung sehe ich nirgends in deinen Logs.

Und ich sehe im Tray das sich jmd mit dem Namen Administrator
eingelogged hat und gerade ist! Diesen User verpasste ich dann
nen IP Ban mitlerweile stehen da 6 ip Adressen die gebanned
sind!

Warum der User als eingeloggt angezeigt wird, weiß ich nicht. Aufgrund des obigen Logs ist er es auf jeden Fall nicht. Such mal in den Logs nach dem erfolgreichen Login (Statuscode 230). Vielleicht siehst du dann wo und wann sich da wer eingeloggt hat.

Oder teste doch mal selber was passiert, wenn du dich als Admin einloggen willst ohne korrektes Passwort. Vielleicht zeigt der Server den Benutzer dann trotzdem irrtümlich als eingeloggt an?

mabuse · 10. November 2019 um 18:15

Mal zum Vergleich:

Falscher User:

16:58:15 - (not logged in) /ip/, \> connected to ip : 192.168.250.32
16:58:15 - (not logged in) /ip/, \> sending welcome message.
16:58:15 - (not logged in) /ip/, \> 220 Mabuses FTP-Server. Welcome!
16:58:15 - (not logged in) /ip/, \> USER Administrator
16:58:15 - (not logged in) /ip/, \> 331 Password required for Administrator.
16:58:15 - (not logged in) /ip/, \> PASS \*\*\*\*\*\*\*\*
16:58:15 - (not logged in) /ip/, \> 530 Login or Password incorrect.
16:58:15 - (not logged in) /ip/, \> disconnected.

Bei mir gibt’s auch keinen Benutzer Administrator - dennoch fragt mein Server (BulletProof) auch erst mal nach einem Passwort und gibt erst dann eine Fehlermeldung.

Erfolgreiches Login:

17:00:09 - (not logged in) /ip/, \> connected to ip : 192.168.250.32
17:00:09 - (not logged in) /ip/, \> sending welcome message.
17:00:09 - (not logged in) /ip/, \> 220 Mabuses FTP-Server. Welcome!
17:00:10 - (not logged in) /ip/, \> USER schippe
17:00:10 - (not logged in) /ip/, \> 331 Password required for schippe.
17:00:10 - (not logged in) /ip/, \> PASS \*\*\*\*\*\*\*\*
17:00:10 - schippe /ip/, \> logged in.
17:00:10 - schippe /ip/, \> 230 User schippe logged in.
17:00:10 - schippe /ip/, \> SYST 
17:00:10 - schippe /ip/, \> 215 UNIX Type: L8
17:00:10 - schippe /ip/, \> REST 100
17:00:10 - schippe /ip/, \> 350 REST supported. Ready to resume at byte offset 100.
17:00:10 - schippe /ip/, \> REST 0
17:00:10 - schippe /ip/, \> 350 REST supported. Ready to resume at byte offset 0.
17:00:11 - schippe /ip/, \> PWD 
17:00:11 - schippe /ip/, \> 257 "/" is current directory.
17:00:13 - schippe /ip/, \> QUIT 
17:00:13 - schippe /ip/, \> 221 Bye bye ...

wie du siehst, kommt die erfolgreiche Anmeldung („230 User xx logged in“) erst nach der Anmeldung. Und es sollte auch irgendwelche Aktivität zu beobachten sein - wenigstens das Listing eines Directories.

Also schau mal tiefer in dein Logfile, was da passiert.
Ich würd einfach auf eine andere Server-Software ausweichen.

lg, mabuse

Hermann_Schaefer · 10. November 2019 um 18:16

Sorge lediglich dafür, daß die Kennwörter und Benutzernamen sicher genug sind.

Fast alle Server melden nicht, daß ein Benutzername ungültig ist, sondern fragen stur nach einem Kennwort. Grund: So kann niemand einfach erraten, ob es einen Benutzer mit dem verwendeten Benutzernamen überhaupt gibt, denn es könnte sowohl der Benutzername als auch „nur“ das Kennwort falsch sein. In deinen Logs steht also nur, daß sich jemand mit dem Benutzernamen „Administrator“ anzumelden versucht.