[Eisfair] Last LogIn Befehlt defekt
Ansgar Püster
ansgar.puester at netcologne.de
So Jun 2 09:47:56 CEST 2019
Hallo,
Am 02.06.2019 um 09:07 schrieb Marcus Roeckrath:
> Hallo Daniel,
>
> Daniel Kubein wrote:
>
>> Jun 2 00:15:12 superkubi pure-ftpd: (?@scan014.intrinsec.com) [INFO]
>> New connection from scan014.intrinsec.com
>> Jun 2 00:15:12 superkubi pure-ftpd: (?@scan014.intrinsec.com) [INFO]
>> New connection from scan014.intrinsec.com
>> Jun 2 00:15:13 superkubi pure-ftpd: (?@scan014.intrinsec.com) [INFO]
>> Logout.
>
> @Ansgar:
> Heißt das, der war drin?
Boris Becker und AOL grüßen aus dem Jahr 1999!
Ich vermute mal mit "der war drin" meinst du, ob eine echte FTP Session
aufgebaut wurde.
Nein, meines Erachtens nicht!
Es fehlt so was wie
Jun 2 09:22:46 eis32test pure-ftpd: (?@eis64test.fritz.box) [INFO] New
connection from eis64test.fritz.box
Jun 2 09:22:52 eis32test pure-ftpd: pam_unix(pure-ftpd:session):
session opened for user root by (uid=0)
Hier wurde nicht einmal ein (User-)Name eingegeben und auch
kein Passsword. Dann kommen in der Regel mehr und andere Meldungen.
Z.B.
pam_unix(pure-ftpd:auth): authentication failure; logname= uid=0 euid=0
tty=pure-ftpd ruser=root rhost= user=root
pam_unix(pure-ftpd:auth): check pass; user unknown
etc. etc.
Ich vermute einen Port-Scan _ohne_ Eingabe von (User-)Name
und Password.
Auch ein check_ftp von Nagios erzeugt auf dem zu überwachenden
Host solche Meldungen _ohne_ sich wirklich einzuloggen.
Intrinsec ist ja ein Unternehmen, welches Schulungen zu Internet-
Sicherheit anbietet. Da hat irgendjemand halt die Übung zum Kurs
"Portscan für Anfänger" durchgeführt.
Gruß,
Ansgar
Mehr Informationen über die Mailingliste Eisfair