Linux 版 (精华区)

发信人: netiscpu (说不如做), 信区: Unix
标  题: [M] FTP 炸弹
发信站: 紫 丁 香 (Thu May 14 22:36:40 1998), 转信


整理自Linux-admin mailling list

[问题]   FTP Bombs wreaking havoc

My Redhat Linux server crashed. I checked /var/log/messages. My site
was ftp bombed. Someone was logging into ftp as user anonymous from 
many sites simultaneously. I was forced to configure ftpd to deny 
anonymous logins. The server has been running since. 

It's been several days since the crash. But the logs show that the user 
is still attempting anonymous ftp. The requests originate from all over 
the world, from *hundreds* of different sites. They arrive once every 
few minutes as if run by cron. But the login requests are often absent 
for several minutes. (This may be due to routing problems.)

Could it be that the hacker has broken into that many sites and
installed cron jobs without detection? Many of the attacks come from 
large, well known ISPs like ATT, CompuServe and AOL.

Or is it possible that the user is faking the IP? I denied access to 
all but requests originating from this domain. But the attacks 
continued from other domains. If the hacker is capable of falsifying 
IPs, why wouldn't he try to login from my IP?

The server crashed last week too. I attributed that to the xterm 
vulnerabilty recently announced. That would imply a local user. And he 
would gain root access and be able to do much more damage than simply 
crashing the server.

Mailing the originating sites is a difficult task given the huge number 
involved. I've begun writing scripts to filter the domains to automate 
the process. At last count there were 300+ domains.

Currently, the hacker is doing nothing except cluttering up my logs. 
But I'm concerned that this low-life, sick individual will look for 
other exploits in the future. I'd really like to put this guy away.

Any comments or suggestions?

Thanks for any help you might offer.
Mick

[回答1]

It is most likely they are spoofing the FTP requests
until you can stop this...its better off to stop all anonymous logins

Or you can use ipfwadm to do the *gulp* inevitable
use ipfwadm to block all ftp access from aol, compuserve, and
who ever else is messing with you

And it is not possible that they have hacked these companies, 
because break-ins are very noticeable on these machines

Especially attempts to break in and run jobs as root.

Omachonu Ogali
<oogali@zer0net.dyn.ml.org>

http://www.zer0net.dyn.ml.org/oogali
ftp://ftp.zer0net.dyn.ml.org/usr/oogali

   __   _
  / /  (_)__  __ ____  __
 / /__/ / _ \/ // /\ \/ /  . . .  t h e   c h o i c e   o f   a
/____/_/_//_/\_,_/ /_/\_\              G N U   g e n e r a t i o n . . .
                                a n d   Z e r 0 n e t . . .



[回答2]
By the way can you send me your logs

Thank you,

Omachonu Ogali
<oogali@zer0net.dyn.ml.org>

http://www.zer0net.dyn.ml.org/oogali
ftp://ftp.zer0net.dyn.ml.org/usr/oogali

   __   _
  / /  (_)__  __ ____  __
 / /__/ / _ \/ // /\ \/ /  . . .  t h e   c h o i c e   o f   a
/____/_/_//_/\_,_/ /_/\_\              G N U   g e n e r a t i o n . . .
                                a n d   Z e r 0 n e t . . .



[完]

--

                              Enjoy Linux!
                          -----It's FREE!-----

※ 来源:．紫 丁 香 bbs.hit.edu.cn．[FROM: mtlab.hit.edu.cn]