howto/Compilling.html <b>Note</b> that if the <code>coredump</code> option is used, proftpd will <b>not</b> switch the UID/GID to the <code>User</code>/<code>Group</code> defined in the config file, nor to that of the logged-in user. 0538名無しさん@お腹いっぱい。2010/12/06(月) 03:41:21 ttp://vrda.jpcert.or.jp/feed/ja/NISTNVD_CVE-2010-4221_AD_1.html これってCPUのNXビットやredhatのexec-shieldあたりで 防ぐことってできるんでしょうか?
0539名無しさん@お腹いっぱい。2010/12/16(木) 11:28:18 該当するバージョンじゃ無いけどバックドア仕掛けられた、proftpd-1.3.3a -- 見つけて削除した物 /etc/issue /etc/rc.local /etc/csoczbeomuiuhtx /etc/fwnirosillemcog /etc/isohncwqirjyqpn ....... -- バックドアを使って何か実行されて他の操作が何も出来なくなった時 /var/log/messages Dec 11 19:00:16 hostname kernel: kern.maxfiles limit exceeded by uid 53, please see tuning(7). Dec 11 19:00:20 hostname kernel: kern.maxfiles limit exceeded by uid 82, please see tuning(7). Dec 11 19:00:26 hostname last message repeated 5 times Dec 11 19:00:26 hostname kernel: pid 61657 (httpd), uid 80: exited on signal 11 Dec 11 19:00:27 hostname kernel: kern.maxfiles limit exceeded by uid 82, please see tuning(7). 延々と続く 省略 -- 仕掛けられた時と思う /var/log/userlog -- 2010-12-02 11:04:49 [unknown:useradd] u232004(0):daemon(1):Administrator Manager:/var/tmp:/bin/sh 2010-12-02 13:28:20 [unknown:userdel] u232004(0) account removed -- /var/log/messages -- Dec 11 18:18:38 hostname proftpd[60066]: hostname.example.net (ip-173-201-27-28.ip.secureserver.net[173.201.27.28]) - ProFTPD terminating (signal 11) 延々と続く 省略 Dec 11 18:18:52 hostname proftpd[60161]: hostname.example.net (9771hd90057.ikexpress.com[80.93.90.57]) - ProFTPD terminating (signal 11) 延々と続く 省略 0540名無しさん@お腹いっぱい。2010/12/16(木) 17:26:11>>538 バッファオーバーフローじゃなくてバックドアなんだから、そんなもん無駄。 0541名無しさん@お腹いっぱい。2011/03/03(木) 00:07:07.88 /etc/issue /etc/rc.local は最初からあるんだけど・・・ 0542名無しさん@お腹いっぱい。2011/04/15(金) 00:35:27.71 ログインしてくるユーザー別でタイムアウトになる時間を個別に設定することってできるのでしょうか? 0543名無しさん@お腹いっぱい。2011/04/17(日) 20:50:01.91 調べてないので、出来なかったらごめん。 proftpdの設定じゃなくて、OS のPAM(Pluggable Authentication Module)の 方にそういう設定があるかも。 0544名無しさん@お腹いっぱい。2011/08/10(水) 18:47:37.15 awsのマイクロインスタンスで、現在linuxの勉強をしているものです。 ftpについてお助け下さい。
環境 CentOS 5.4 ProFTPD Version 1.3.3c(yumでインストールしました) インスタンスにはセキュリティーグループで自宅IPからのみSSH/ftpを許可しています。
Include /etc/proftpd/modules.conf UseIPv6 off IdentLookups off ServerName "hoge.dip.jp" ServerType inetd DeferWelcome off MultilineRFC2228 on DefaultServer on ShowSymlinks on TimeoutNoTransfer 600 TimeoutStalled 600 imeoutIdle 1200 DisplayLogin welcome.msg DisplayChdir .message true ListOptions "-l" DenyFilter \*.*/ Port 21 MaxInstances 30 User proftpd Group nogroup Umask 022 022 AllowOverwrite on TransferLog /var/log/proftpd/xferlog SystemLog /var/log/proftpd/proftpd.log 0576名無しさん@お腹いっぱい。2013/02/03(日) 22:28:53.68 続きです。
<IfModule mod_quotatab.c> QuotaEngine off </IfModule> <IfModule mod_ratio.c> Ratios off </IfModule> <IfModule mod_delay.c> DelayEngine on </IfModule> <IfModule mod_ctrls.c> ControlsEngine off ControlsMaxClients 2 ControlsLog /var/log/proftpd/controls.log ControlsInterval 5 ControlsSocket /var/run/proftpd/proftpd.sock </IfModule> <IfModule mod_ctrls_admin.c> AdminControlsEngine off </IfModule> 0577名無しさん@お腹いっぱい。2013/02/04(月) 00:17:54.08 ftpクライアントのデバッグ出力を有効にしたり netcatやtelnetでつないでみるくらいはしたのか? 0578名無しさん@お腹いっぱい。2013/02/06(水) 12:17:55.97 レス遅くなりました。 ftpデバック出力は421が返ってきます。デバック無しと変化有りません。 netcatはサーバ側listenモードだと、21番を乗っ取れないと出ます。余り使いこなせていま せん。 LAN内MACからのnetcatやftpからだと、サーバ側にVMホストのIPからアクセスと出るの ですが、telnetでアクセスするとMACのIPからのアクセスとログされます。外部からのftp なのに、ホストOSのIPからのアクセスとなるのは変な気がします。VMwareのブリッジが まずいのでしょうか。