Dziurawe proftpd

[MikeJones 25]

czy ktoś slyszał coś więcej o http://niebezpiecznik.pl/post/0day-na-proftpd-1-3-3g/ ? W linku blędnie jest podane, ze chodzi o 1.3.3g, ale według twórcy exploita każda wersja jest podatna...

[is_wm 287]

To teraz pomysł na biznes - kupić za 11k $ i sprzedawać po 5k $

Ale masakra, szczerze współczuje teraz firmom, co mają po XXX serwerów z pro :/

[Gość patrys]

Najgorsze jeżeli ktoś nie usunął wersji z nagłówka i polecą skanery

[is_wm 287]

Jeśli wierzyć w to, że działa na wszystkie wersje, to żadne usuwanie z nagłówka nie pomoże. Pewnie też szybko łatki się nie doczekamy...

[Gość patrys]

@is_wm: z automatu będzie skanowanie, a potem zarażenie, bo nikt nie będzie testował exploita na każdym porcie 21

[is_wm 287]

Czasem to nawet skanować nie trzeba, wystarczy małe obeznanie w branży... bo pewnie grubo ponad 90% hostingów opartych na DA używa(ło) proftpd.

[krk 2]

mam tego exploita na 5 wybranych hostów z tego forum 5 było podatnych więc nieźle

 

Admini ruszcie d*py

Edytowano Styczeń 8, 2014 przez krk (zobacz historię edycji)

[ToFFiK 33]

Działa tylko na 1.3.3, na 1.3.4d już nie

Edytowano Styczeń 10, 2014 przez ToFFiK (zobacz historię edycji)

[MikeJones 25]

czytanie ma przyszlość:

 

cpds
02/01/2014 in 22:10
1.3.4a is affected?


Administrator
03/01/2014 in 02:02
yes. affected

Edytowano Styczeń 8, 2014 przez MikeJones (zobacz historię edycji)

[mmmm21 98]

Na razie nie za dużo wiadomo http://bugs.proftpd.org/show_bug.cgi?id=4007

[RafoX 233]

Directadmin już przestało w standardzie instalować proftpd teraz z miejsca idzie pure-ftpd 1.0.36

Edytowano Styczeń 17, 2014 przez RafoX (zobacz historię edycji)

[Gość]

Cholera, i w takich momentach utwierdzam się w przekonaniu, że moje zdolności administracyjne to gawnajet i potrzebuję rozwiązań meneczt : )

[JohnyByk 1]

mam tego exploita na 5 wybranych hostów z tego forum 5 było podatnych więc nieźle

 

Admini ruszcie d*py

 

W jaki sposób mogę sprawdzić czy serwer jest podatny na exploita?

Czy ProFTPD 1.3.4d na pewno nie jest podatny na atak?

 

Przy odpalaniu exploita (wirtualna maszyna) dostaję taki komunikat:

root@localus:/Temp# perl 15449 192.168.56.100 192.168.56.100 5

[192.168.56.100] Debian Linux Squeeze/sid, ProFTPD 1.3.3a Server (distro binary) :pP

align = 4101

Seeking for write(2)..

Using write offset 080532d8.

wrong write(2) offset.

 

 

Czy to źle czy dobrze :]

 

System i wersja proftpd są zgodne z wybraną opcją.

 

Edit:

To nie ten exploit. Ja znalazłem jakiegoś pod perla, a tamten jest napisany w pythonie także nie sprawdzę chyba, że wybulę 11k .

 

 

Pozdrawiam

Edytowano Styczeń 17, 2014 przez JohnyByk (zobacz historię edycji)

[Gość patrys]

Wiele firm stosowało Proftpd choć były już wcześniej problemy...

Jeżeli już serwery muszą mieć FTP to lepiej je wdrażać na vsftpd i pureftpd.

Kluczową kwestią jest też usunięcie wersji/nazwy serwera FTP i w miarę możliwości schowanie go za firewallem z dostępem przez VPN.

[Pan Kot 1535]

A najlepiej to wywalić do /dev/null to całe FTP i używać wbudowanego SFTP w OpenSSH.

 

Nie wiem co ludzie widzą w tym FTP, chyba już każdy istniejący klient wspiera SFTP.

Edytowano Styczeń 18, 2014 przez Archi (zobacz historię edycji)

[Gość patrys]

Czemu ?

W FTP prościej zamknąć usera w katalogu, autoryzować go przez jakąś zewnętrzną bazę, wykonać jakaś operacje na pliku czy logować operacje.

[Pan Kot 1535]

Zamknięcie usera w katalogu, prosto z mojego sshd_config:

# SFTP Jail
Match Group jail
ForceCommand internal-sftp
ChrootDirectory %h
AllowTcpForwarding no
X11Forwarding no

Co do autoryzacji się zgadzam, ale z drugiej strony wszystko co z PAM zgodne z SFTP też podziała, tak samo z logowaniem, więc nie jest aż tak źle.

Edytowano Styczeń 18, 2014 przez Archi (zobacz historię edycji)

[igor_s 30]

Też jestem zwolennikiem sftp, natomiast gro ludzi używa systemu Windows Xp/7... , w którym nie ma natywnego klienta sftp.

Oczywiście pozostaje kwestia: anonymous ftp.