ProFTPDについて語るスレ 2
ttp://vrda.jpcert.or.jp/feed/ja/NISTNVD_CVE-2010-4221_AD_1.html これってCPUのNXビットやredhatのexec-shieldあたりで 防ぐことってできるんでしょうか? 該当するバージョンじゃ無いけどバックドア仕掛けられた、proftpd-1.3.3a -- 見つけて削除した物 /etc/issue /etc/rc.local /etc/csoczbeomuiuhtx /etc/fwnirosillemcog /etc/isohncwqirjyqpn ....... -- バックドアを使って何か実行されて他の操作が何も出来なくなった時 /var/log/messages Dec 11 19:00:16 hostname kernel: kern.maxfiles limit exceeded by uid 53, please see tuning(7). Dec 11 19:00:20 hostname kernel: kern.maxfiles limit exceeded by uid 82, please see tuning(7). Dec 11 19:00:26 hostname last message repeated 5 times Dec 11 19:00:26 hostname kernel: pid 61657 (httpd), uid 80: exited on signal 11 Dec 11 19:00:27 hostname kernel: kern.maxfiles limit exceeded by uid 82, please see tuning(7). 延々と続く 省略 -- 仕掛けられた時と思う /var/log/userlog -- 2010-12-02 11:04:49 [unknown:useradd] u232004(0):daemon(1):Administrator Manager:/var/tmp:/bin/sh 2010-12-02 13:28:20 [unknown:userdel] u232004(0) account removed -- /var/log/messages -- Dec 11 18:18:38 hostname proftpd[60066]: hostname.example.net (ip-173-201-27-28.ip.secureserver.net[173.201.27.28]) - ProFTPD terminating (signal 11) 延々と続く 省略 Dec 11 18:18:52 hostname proftpd[60161]: hostname.example.net (9771hd90057.ikexpress.com[80.93.90.57]) - ProFTPD terminating (signal 11) 延々と続く 省略 >>538 バッファオーバーフローじゃなくてバックドアなんだから、そんなもん無駄。 /etc/issue /etc/rc.local は最初からあるんだけど・・・ ログインしてくるユーザー別でタイムアウトになる時間を個別に設定することってできるのでしょうか? 調べてないので、出来なかったらごめん。 proftpdの設定じゃなくて、OS のPAM(Pluggable Authentication Module)の 方にそういう設定があるかも。 awsのマイクロインスタンスで、現在linuxの勉強をしているものです。 ftpについてお助け下さい。 環境 CentOS 5.4 ProFTPD Version 1.3.3c(yumでインストールしました) インスタンスにはセキュリティーグループで自宅IPからのみSSH/ftpを許可しています。 /etc/proftpd.confでは ServerType inetd MasqueradeAddress ElasticIPで提供されたIPを指定 PassivePorts 60000 60100 にしています。 (長すぎて投稿できないため分けます) ネット環境は、 YahooBB--[BBルーター]--[ブリッジモードのルーター]--[自宅PC]になっています。 NextFTPからPASVモードでサーバーへの接続は確認できました。 午前中、FTPで接続してファイルの送受信を行っていたのですが急にファイルリストの取得が 出来なくなりました。 NextFTPを起動しなおして再度接続を試みたのですが、ログイン後に最初のディレクトリの ファイルリストを取得する段階で止まるようになり、これ以降何度試してもファイルリストが取得できません。 またディレクトリの移動を行っても同様です。 (長すぎて投稿できないため分けます) ログを確認したところ、 (time) (ip) proftpd[2291]: (ip) (自宅PCのIP[自宅PCのIP]) - Preparing to chroot to directory '/home/(アカウント名)' (time) (ip) proftpd[2291]: (ip) (自宅PCのIP[自宅PCのIP]) - mod_cap/1.0: cap_set_proc failed: Operation not permitted (time) (ip) proftpd[2291]: (ip) (自宅PCのIP[自宅PCのIP]) - mod_cap/1.0: attempt to configure capabilities failed, reverting to normal operation 次へ。 この事象が発生する前後に、サーバーやルーター、PCの再起動は一切行っておらずエラーが突然出てきて リストが取得できない状態です。 "proftpd mod_cap"でググって、/etc/proftpd.confに CapabilitiesEngine Offという記述がありましたのでそれを追加してみました。 この場合ログにエラーが出なくなりましたが、ファイルリストの取得は相変わらずです。 linuxを触り始めて間もないため、どの設定がftpに絡んでいるのか分らず、次に何を調べたらよいか分りません。 諸先輩方、よろしくおねがいします。 レス追えるように名前欄にでも最初のレス番かトリップ入れるといいかもしれない。 >>544 > ProFTPD Version 1.3.3c(yumでインストールしました) CentOS の公式リポには ProFTPD 入ってないと思うが。 どこの野良リポから拾ってきたの? > FTPで接続してファイルの送受信を行っていたのですが急にファイルリストの取得が > 出来なくなりました。 これは、最初は普通に使えてたのに、突然使えなくなった、という意味? だとしたら多分問題点は ProFTPD じゃないように思える。 ともあれ、 初心者の勉強だったらいきなりリモートでやらないで 自分の家の中のPCでVM上にでもインストールして実験して 設定が固まってからリモートに持ってった方がいいんじゃないかな。 >>549 リポジトリは rpmforge になります。 >これは、最初は普通に使えてたのに、突然使えなくなった、という意味? はい、htmlとCSSなどをアップしてwebページの確認をしている最中です。 NextFTPではファイルアップ後に、NLSTでリストを取得しているのですが、 ファイルアップ直後にNLSTコマンドのまま応答が返ってこなくなりました。 それ以降は、繋ぎなおしてもまったくダメで、ログに上記のエラーが記録されています。 先ほど、aws側サーバー、自宅のルーター、PCをそれぞれ再起動してみましたが変わらずです。 FTPクライアントをほかのに変えて試してみましたが、リスト取得できず。。。 またWindowsのコマンドプロンプトから以下のように試してみました。 CWD src 250 CWD command successful PWD 257 "/src" is the current directory NLST -la 425 Unable to build data connection: Invalid argument PASV 227 Entering Passive Mode (IP,234,149). NLST -la 仕事で複数のサーバーへFTPする機会があるのですが、他サーバーはPASVでリスト取得は普通に出来ています。 肝心の所、書いてないからわからんけど、 PASV切り替えが確立してないようだから ルータのPASV範囲が全部空いてるか確認取ってみ。 > NLST -la > 425 Unable to build data connection: Invalid argument については"proftpd nlst"をぐぐれ。 余りにもfaqすぎる話だが。 >>554 すまん。違う問題のようだな。 telnetでアクセスしてみたら確かに LIST だろうが NLST だろうが > 425 Unable to build data connection: Invalid argument となるな。 もちろんftpクライアント(FFFTP)だと問題なく通るんだが。 パケットキャプチャしてみたが、windowsの ftpコマンドでも普通に NLST は通る。 telnetコマンドで一文字ずつパケット分けて送信するのだとダメみたい。 つまり request: NLST は通るが request: N request: L request: S request: T はNG USER, PASS, PASV, CWD, PWD といったコマンドはどちらでも通るんだがね。 あ、ここはid出ないのか。 ちなみに当方がテストしたのは CentOS 5.6 と proftpd 1.3.3。 proftpd は tar ball からビルドしたもの。 もう一年以上バージョン上げてねーやw 一応書いておくと、(今回の場合根本的に違う原因なのかも知れんけど) >>554 の件もイキだから。(NLST -la はproftpdでは使用不可) つまり NextFTPがNLST -laで一覧取得してるなら、何も表示されないのが正常。 「ほかのクライアント」ってのが何だか知らんけど、 ファイル一覧取得の仕様を確認した方がいいのでは。 みなさん、ありがとうございます。 >>553 すみません、私が基本的な勘違いしているのかもしれませんが PASVの場合データコネクションもLAN内から外部へ張ると思うのですが この場合も、ルーターの設定変更が必要なのでしょうか? firewallでFTP関連は例外に指定してあります。 >>554 NLST -la の件、確認しました。 NLSTだけやLISTでも応答がありませんでした。 他のftpクライアントは、smartFTPとffftpです。 >>559 > この場合も、ルーターの設定変更が必要なのでしょうか? firewallでFTP関連は例外に指定してあります。 サーバ側のiptablesの設定は? PASV用の設定してる? 最初は使えてたって話だから関係ないかもしれんけど。 つか、CentOSでなぜ非標準のproftpd使うの? 俺は他のディストリで「使い慣れてた」から使ってるんだが、そういう訳でもなさそうだし。 お返事が遅くなってすみません。 結果から申しますと、接続できました。 awsのセキュリティーグループにはFTP,SSHのポート開放を行っていたのですが、サーバー側のルーターの方の指摘があったので PASV用にしていたポート範囲を開けてみましたらリストも取得できました。 ポートを空けるまでデータコネクションが繋がっていたのは何だったんでしょうか・・・。 という訳でお騒がせ致しました。 > サーバー側のルーター おいおいw インターネットに繋がるサーバ立てるなら もうちょっと勉強した後にした方がいいと思う solaris10 sparc 64biにてproftpdを使ったFTPサーバを立ててみました。 ユーザーがA,B,Cと3人いるのですが、各ユーザー毎に最大接続数を設定したいのですができるのでしょうか? proftpd 1.3.3f スタンドアロン起動 mod_auth_file.cで認証 >>564 動作確認行っていた為、返信遅れてしまいました。 ifsessionモジュール入れてなかったので若干手こずってしまいましたがMaxClientsPerUserで思った通りの動作となりました。 情報ありがとうございます。非常に助かりました Rootフォルダにログイン後、各グループ毎にアクセス出来るフォルダを制限したいんですが 1つのフォルダに複数のグループIDを割り当てるにはどうすれば出来ますでしょうか。 chgrpだと1グループしか設定出来なかったので… 「複数のグループIDを含むグループ」を作って、 (コマンドだとgroupaddとかaddgroupとか、/etc/groupを編集してからgrpconvを実行とか。 それをchgrpで指定する、とか。 ACL (Access Control Lists) をサポートしてるOS使ってたら、 ACL でディレクトリに複数のグループを割り当てられたと思う。 コマンドは setfacl / getfacl。 FileZilla3.0.0でFTPESアクセス。 特定ユーザ(test)に読み取りだけを与えようと、Limitディレクティブを使用しているんですがどうも上手くいきません。 <Limit READ DIRS> AllowUser "test" </Limit> として、該当ディレクトリ配下にアクセスすると 「ディレクトリ一覧表示の取り出しに失敗しました」と出てアクセスに失敗するため <Limit ALL> AllowUser "test" </Limit> と試してやると、正常にファイル一覧が取得出来ました。 ディレクティブの指定が間違ってるのかと思い、参考したサイトにあるLimitディレクティブコマンド全てに対してAllowUserで定義してみたのですが、それでも上記のエラーが表示されてアクセス出来ませんでした。 【使用したコマンド】 ・CWD ・MKD ・RNFR ・RNTO ・DELE ・RMD ・RETR ・READ ・WRITE ・DIRS ・LOGIN Limitディレクティブに対して足りない箇所があるのでしょうか。 答えになるか分からないけれど、ウチの場合。 Linux 上で、パッシブモードで動作する ProFTPD サーバに、 Windows のクライアントから FFFTP で接続すると、 ファイル一覧の取得は MLSD で行っているわ。 (前略) >TYPE A 200 Type set to A >PASV 227 Entering Passive Mode (192,168,0,1,31,84). ダウンロードのためにホスト 192.168.0.1 (8020) に接続しています. (TCP/IPv4) 接続しました. (TCP/IPv4) >MLSD 150 Opening ASCII mode data connection for MLSD 226 Transfer complete ファイル一覧の取得は正常終了しました. (702 Bytes) proftpdはMysql5.5だとmod_sql_mysql(mysqlで会員管理) 入れるとmake失敗する。 mod_sql_mysql.c:(.text+0x10dd): undefined reference to `make_scrambled_password' collect2: ld returned 1 exit status make: *** [proftpd] Error 1 http://www.proftpd.org/docs/NEWS-1.3.4b - Bug 3669 - mod_sql_mysql.so: undefined symbol: make_scrambled_password with MySQL 5.5 on Fedora. 1.3.4bでもなぜか直ってないので、どうしようもないです。 VMのスレから誘導されて来ました。 vmware上のdebianでproftpdを立ち上げようとしています。どうしてもLAN内部からの アクセスに失敗してしまいます。ただ、ホストOS(Win7pro)からはアクセス可能です。 LAN:192.168.0.0/24 固定IP運用 DDNS取得 ホストOS:Win7pro64 FW無し 192.168.0.200 ゲストOS:debian squeeze 192.168.0.100 ブリッジ NIC直接指定 SELinuxやipchainsは無し LAN内PC:Mac ルータ:RTX810 192.168.0.1 ddns ieserver hoge.dip.jp proftpdは過去に何度も公開していたことが有るのですが、この構成は初めてで、 ホストOSからのみ、IP直打ちでPORT/PASVにてアクセス出来ます。それ以外からの アクセスはconnection refused(421)ですが、proftpd.logにはsessionのOPEN,CLOSEが 記録されます。 また、Apacheは問題無くアクセスできるため、VMwareの問題でな無いのではと思って おります。proftpd.confは特別なことをしておらず、inetd経由、standaloneどちらもNGです。 IP直打ちでもNGというのが気になるのですが、どこから切り分けしていけば良いでしょうか。 経験者ぶってIP直打ちがどうとかアホ丸出し 設定ファイルに特別なことはしてないとか言われても みんながDebian使ってるわけじゃねーんだけどな >>574 ご指摘の通りです。confを記載します。 Include /etc/proftpd/modules.conf UseIPv6 off IdentLookups off ServerName "hoge.dip.jp" ServerType inetd DeferWelcome off MultilineRFC2228 on DefaultServer on ShowSymlinks on TimeoutNoTransfer 600 TimeoutStalled 600 imeoutIdle 1200 DisplayLogin welcome.msg DisplayChdir .message true ListOptions "-l" DenyFilter \*.*/ Port 21 MaxInstances 30 User proftpd Group nogroup Umask 022 022 AllowOverwrite on TransferLog /var/log/proftpd/xferlog SystemLog /var/log/proftpd/proftpd.log 続きです。 <IfModule mod_quotatab.c> QuotaEngine off </IfModule> <IfModule mod_ratio.c> Ratios off </IfModule> <IfModule mod_delay.c> DelayEngine on </IfModule> <IfModule mod_ctrls.c> ControlsEngine off ControlsMaxClients 2 ControlsLog /var/log/proftpd/controls.log ControlsInterval 5 ControlsSocket /var/run/proftpd/proftpd.sock </IfModule> <IfModule mod_ctrls_admin.c> AdminControlsEngine off </IfModule> ftpクライアントのデバッグ出力を有効にしたり netcatやtelnetでつないでみるくらいはしたのか? レス遅くなりました。 ftpデバック出力は421が返ってきます。デバック無しと変化有りません。 netcatはサーバ側listenモードだと、21番を乗っ取れないと出ます。余り使いこなせていま せん。 LAN内MACからのnetcatやftpからだと、サーバ側にVMホストのIPからアクセスと出るの ですが、telnetでアクセスするとMACのIPからのアクセスとログされます。外部からのftp なのに、ホストOSのIPからのアクセスとなるのは変な気がします。VMwareのブリッジが まずいのでしょうか。 少なくともFWの問題では無さそうです。 netcatやtelnetで「つないでみる」って書かれてるのに サーバ動作モードを使おうとしているあたり理解に苦しむな MACってなんだ? MACアドレスのことか? それともAppleのMacintoshか? 後者ならMacと略すのが普通 gestOS 192.168.0.200 hostOS 192.168.0.100 MacOS 192.168.0.50 telnet , netcatにてMacからgestOSの21番にアクセスして、 gestOSのdaemonのlogを確認しました。 最初の1回目は proftpd[]:connect from 192.168.0.50 以降、何度やっても proftpd[]:connect from 192.168.0.200 と記録されます。hostOSのIPが記録されるのは 何かおかしい気がしますが、それ以前に、アクセスする度に元IPが変わるのは変だと思います。 これで何か切り分け出来ないでしょうか。 VMwareやホストなど環境のせいだと切り分けできたじゃないかw guestだな。すまんす。インフルでうんうん言いながら書いたんだ。 1.3.4cでもmysql5.5 centos5.9で失敗する 外人も言ってるので、 https://forums.proftpd.org/smf/index.php?topic=11345.0 >i was not install proftpd success, about my proftpd's version 1.3.4c and mysql-5.5.31, the error information as follows: 仕様かな。 VMでやっても失敗するんだよな。 mysql5.3だと問題ない。>>572 のまま 誰でも簡単にパソコン1台で稼げる方法など 参考までに、 ⇒ 『宮本のゴウリエセレレ』 というブログで見ることができるらしいです。 グーグル検索⇒『宮本のゴウリエセレレ』 H3IRM1N6S1 ☆ 日本の、改憲をしましょう。現在、衆議員と参議院の両院で、 改憲議員が3分の2を超えております。『憲法改正国民投票法』、 でググってみてください。国会の発議はすでに可能です。 平和は勝ち取るものです。お願い致します。☆☆ 知り合いから教えてもらったパソコン一台でお金持ちになれるやり方 時間がある方はみてもいいかもしれません グーグルで検索するといいかも『ネットで稼ぐ方法 モニアレフヌノ』 BGCM0 デブなやつは解約するのも構わないからじゃね?自己評価高すぎるし自分を俳優やモデルばりのビジュアルだと思ったのはなぜ❓ 私はジャンプよりスピンやステップの方が欲しかったわけでも稼ぐだろうね 宣伝にもならん https://i.imgur.com/OedQ4NW.jpg これから年末にかけたソシャゲを倒産寸前のGREEの関連を調べてみたが しかし 新型クラウン格好いいな というか こんなこと言ったらジェイクが恋しくなりそうだ。 >>487 国会では 決済代行業みたいにスピード出してるヤツ1000人にも圧倒的に知られてきて攻撃的な回答だったら開催したくないものは、善悪ではないからコピペ始まってるのと殆ど同じなんだが、評価はしてくるし ソシャゲのほうが脅迫しまくってるくせにまあ >>179 さて明日から うちは子供時代の大奥完結してたんやろか read.cgi ver 07.5.1 2024/04/28 Walang Kapalit ★ | Donguri System Team 5ちゃんねる