Kritische Sicherheitslücke in ProFTPD

    Erstmal: Herzlichen Dank für diese Information. Es wird sicherlich einige User geben, bei denen das zutrifft.


    Allerdings: Es wäre schön gewesen, wenn in der Email die Versionsnummer die das betrifft enthalten gewesen wäre. Habe erst einen ziemlichen Schock bekommen, als ich diese Email las. Da mein System halt voll gepatcht ist. ;)


    Erst nach weiterem googlen fand ich aber heraus [1], dass von dieser Lücke der stabile (lenny) Debian Zweig nicht betroffen ist.


    Der Fehler existiert erst seid ProFTPd 1.3.2rc3.
    Also ist die aktuelle 1.3.1-17lenny4 in Lenny nicht davon betroffen.


    [1] http://debianforum.de/forum/viewtopic.php?f=9&t=123805

    Danke sim4000 für die Recherche. ;)


    Konnte mir auch nicht vorstellen, daß die "aktuelle" Version von lenny ein Problem hat (klang in der mail so auch nicht an).
    Bei mir ebenso die "1.3.1-17lenny4".


    Im Log bei mir morgens so zwischen cal. 5:30 und 6:30 Uhr diverse Verbindungsversuche zu proftpd bis die max-connections aufgebraucht waren. Danach dann jeweils ein Neustart durch monit (Weil monit nicht mehr test-connecten konnte).

    Zitat von Sushimaster;27791

    Sollte reichen. Mehr kann man selber auch kaum machen.

    Doch. Letztendlich hat der Besitzer des Servers die Verantwortung. Wenn es gar nicht anders geht muss halt der Server Dienst beendet werden, oder man muss selbst die neuste Version backen.


    Zitat von Sushimaster;27791

    Wer xampp einsetzt:

    Gehört verhauen. ;)

    Interessant an dieser Mail ist auch das die generell jeder Kunde bekommen hat, unabhängig ob betroffen oder nicht .....
    Auch mir ging "der Arsch erst mal auf Grundeis", obwohl ich mein System steets aktuell halte .....

    Ja, ich finde auch, dass Netcup in jeden einzelnen VPS hätte schauen sollen, ob ProFTPd installiert ist und wenn ja, welche Version ;)


    :* Sarkasmus darf gefunden und behalten werden.

    Mensch was bin ich froh, weder SysCP noch Webmin, Confixx oder Plesk benutzen zu müssen!

    Habe diese mail auch bekommen und sofort Herz ind die Hose gerutscht ....Evtl. hätte Netcup ja schauen können wer noch nicht die neuste Version hat aber die Info ist schon echt top hatte ich nie bei meinen alten Hoster also echt klasse von euch .


    lg , PumaStyler

    Wir haben keinen Zugriff auf die VPS der Kunden. Wir können daher nicht wissen, welche Version die Kunden installiert haben. Eine Abfrage von Außen ist bei der Menge an vServern die wir betreuen, nicht möglich.


    Was wir allerdings gesehen haben, ist das bei ca. 5 % der vServer die Load auf über 100 gestiegen ist, sprich hier haben die Angreifer vermutlich erfolgreich die Lücke nutzen können. Bei fast 4000 vServern ist das schon eine beängstigend große Menge, daher wurde der Newsletter verschickt.


    Man bedenke bitte auch, dass der größte Teil unserer Kunden nicht hier im Forum mit liest.


    Sollten wir jemanden unnötig einen Schrecken eingejagt haben, bitte ich hierfür um Entschuldigung. Das war nicht unsere Absicht.

    Um nochmal auf den "xampp" zurückzukommen: Ist er eigentlich nicht nur dazu gedacht um lokal auf seinem Rechner zu Hause, egal ob Windows oder Linux, Anwendungen zu testen bevor man sie produktiv auf einem richtigen Server stellt? ;)

    Ich hab heute morgen schon nen Schock bekommen, da 2 meiner Server extrem angegriffen wurden sind.


    Die Angriffe fanden zwischen 6 und 7 Uhr statt und die Load meiner beiden Server stieg dabei auf 7-10.


    Frag mich was die sich da eine ganze Stunde lang abgemüht haben den Server zu extrem zu attackieren - passiert ist aber nichts.

    Man kann XAMPP genauso gut auch produktiv nutzen.
    Wer sich das Ganze mal im Detail anschaut, und nicht einfach dummdösig irgendwas, was man irgendwo in irgendwelchen Foren gelesen hat nachplappert, wird man merken, dass man es durchaus produktiv einsetzen kann.


    Allerdings hast du natürlich Recht - es ist eine Möglichkeit schnell und einfach (lokal) eine AMPP Umgebung zu installieren. Es entsteht auch ein gewisser Aufwand so eine Installation "sicher" zu machen. Letztendlich ist in der XAMPP Installation nix anderes drin als die neusten Versionen der mitgelieferten Software - die man sich auch genausogut selber installieren könnte.


    Wenn man MySQL installiert, muss man dort auch Rechte setzen und root erstmal auf localhost einsperren (afaik steht der Host auf % bei der Installation). Ergo ist XAMPP nicht viel unsicherer als die Summe seiner Komponenten wenn man es selbst installiert.


    Aber was red ich eigentlich... los, jetzt dürfen die selbsternannten Pro's losbashen :D


    Warte, ich geb einen vor:
    Man MUSS den Kernel selbst kompilieren, damit man wirklich wer ist! Alle Anderen sind doch nur [Schimpfwort hier einsetzen]! :D

    Zitat von Sushimaster;27806

    Warte, ich geb einen vor:
    Man MUSS den Kernel selbst kompilieren, damit man wirklich wer ist! Alle Anderen sind doch nur [Schimpfwort hier einsetzen]! :D


    Ach ja, und, bitte nicht vergessen, man muss Gentoo auf dem Rechner haben und alles selber kompilieren, außerdem muss man immer sofort das aktuellste ebuild aus dem Portage tree haben....;)


    Okay genug herumgealbert, ich habe ProFTPD endgültig gelöscht, da ich es eh nicht mehr nutze...

    Als ich heute in der Schule meine E-Mails abgerufen habe, erschrack ich auch :D


    Dann hab ich mal aber im Forum gesucht, und zum Glück diesen Thread zur "Beruhigung" gefunden.


    Hab gerade meine LOG's durchgeschaut: Nichts verdächtiges :)
    Mache zum Glück auch immer regelmäßig Updates :)

    Hm also ich hab "ProFTPD Version 1.3.1"


    und auch bei mir wurde heute am Morgen fröhlich heiter "attackiert"



    Whois für swsconsultores.com


    Technical Contact:
    Silva, Franklin fsilva@cantv.net
    Soluciones Swsnet CA
    Calle chacaito edf dos
    piso 4 ofc 4d
    Caracas, df 1080
    Venezuela



    mir gefällt sowas überhaupt nicht ... -.-


    meint ihr eine "Anzeige" würde etwas bringen? bzw. is das überhaupt durchsetzbar?
    Nach attacken von Strato Servern habe ich z.B. mich erst mit Strato unterhalten gehabt ... aber dann von einer Anzeige abgesehen ,,, es war "nur" ein gehackter V-Server oder sowas ... auf jeden hat der Betreiber ehe ne saftige Strage von Strato bekommn ...


    Was ich sagen will ist ... Angriff ist manchmal die beste Verteidigung ... und daher müsste man doch irgendwas gegen diese "hacker" tuen ... zumindest im Nachhinein ...


    MfG

    Zitat von sim4000;27784


    Der Fehler existiert erst seid ProFTPd 1.3.2rc3.
    Also ist die aktuelle 1.3.1-17lenny4 in Lenny nicht davon betroffen.



    Zitat von [netcup] Felix;27800

    Was wir allerdings gesehen haben, ist das bei ca. 5 % der vServer die Load auf über 100 gestiegen ist, sprich hier haben die Angreifer vermutlich erfolgreich die Lücke nutzen können.


    Kann ich demnach davon ausgehen, dass ich (mit einem ständig aktuell gehaltenen Debian und Proftpd 1.3.1-17lenny4) ungefährdet bin, obwohl bei die Load ebenfalls auf 20 gestiegen ist? Die bei mir verzeichnete hohe CPU-Last haben also die anderen Vserver auf dem selben Node verursacht?
    Außer der hohen Last habe ich keinerlei Anzeichen dafür gefunden, dass auf meinem System etwas passiert ist.
    Vorsichtshalber habe ich heut morgen ohnehin schon proftpd1.3.3c kompiliert und installiert, was mich allerdings einige Mühe gekostet und ein paar Änderungen an der Konfiguration erfordert hat. Vermutlich würde die langfristige Wartung leichter, wenn ich wieder auf die Paketversion zurückdrehe.

    Hui, mir ist da schier das Herz in die Hose gerutscht, weil ich dachte mein vServer sei abgeschaltet worden..


    Puh, bei mir ist zum Glück nicht viel passiert..