Proftpd взбесился

Проблемы с установкой, настройкой и работой системных и сетевых программ.

Модераторы: GRooVE, alexco

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
surok
рядовой
Сообщения: 21
Зарегистрирован: 2010-05-01 20:54:20

Proftpd взбесился

Непрочитанное сообщение surok » 2010-11-15 12:13:33

Я искренне прошу прощения за такое название темы. Но просто у меня нет объяснения тому, что увидел сегодня в выводе top'а на одном из серверов.
Система FreeBSD 8.0-RELEASE.
В качестве фтп сервера установлен proftpd авторизация из файла. Уже почти год всё работает отлично, но вот сегодня появилась проблема.
Проблема в том что процессы начинают грузить систему на 100%. Остановка, ровно как и перезапуск не помогают, бешенство останавливается только при ребуте машины. Пожалуйста помогите, я просто не знаю, что делать. :cry: Спасает то, что сервер один из многих в стойке и на него идёт не такая уж большая нагрузка, но это не норма, что четырёхядерный ксеон уходит в такой загул из-за профтпд. :(
Снимок-1.png
Конфиг proftpd:

Код: Выделить всё

ServerName			"evksoft ofice FTP"
ServerType			standalone
DefaultServer			on
#ScoreboardFile		/var/run/proftpd/proftpd.scoreboard

Port				21
PassivePorts 60000 65535

#UseIPv6				off

Umask				022

MaxInstances			30

CommandBufferSize	512

User				ftp
Group				ftp

RequireValidShell off

DefaultRoot ~ !ftp_evksoft
ServerLog /usr/local/ftp/ftpserver/proftpd.log
AuthUserFile /usr/local/ftp/ftpserver/userftp.txt
AuthGroupFile /usr/local/ftp/ftpserver/groupftp.txt
UseReverseDNS off
IdentLookups off
ListOptions "-a"
AllowStoreRestart on

<Directory ~>
AllowOverwrite		on
<Limit Write>
AllowAll
</Limit>
<Limit READ>
AllowAll
</Limit>
</Directory>

<Limit SITE_CHMOD>
AllowAll
</Limit>
Последний раз редактировалось f_andrey 2010-11-15 18:06:29, всего редактировалось 1 раз.
Причина: Автору, выбирайте пожалуйста раздел соответствуюший тематике вашего сообщения.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

surok
рядовой
Сообщения: 21
Зарегистрирован: 2010-05-01 20:54:20

Re: Proftpd взбесился

Непрочитанное сообщение surok » 2010-11-15 12:22:22

Нашёл в логах профтпд то, что за несколько минут до этого безобразия в течении получаса с одного айпи идёт по 3-4 запроса в секунду на открытие фпт сессий, но потом профтпд сдаётся и перестаёт писать логи и сваливается в это безобразие :(
Этот айпишник заблочил, но думаю раз нащупали уязвимость то продолжат долбить её до победного. Помогите как закрыть дыру и решить проблему. :cz2:



surok
рядовой
Сообщения: 21
Зарегистрирован: 2010-05-01 20:54:20

Re: Proftpd взбесился

Непрочитанное сообщение surok » 2010-11-15 12:43:16

Пока остановил proftpd и заблочил тот айпишник, но это никак не решение :( может кто сталкивался с такой проблемой помогите советом.

surok
рядовой
Сообщения: 21
Зарегистрирован: 2010-05-01 20:54:20

Re: Proftpd взбесился

Непрочитанное сообщение surok » 2010-11-15 13:09:50

Прочитал статью ещё раз, а также комменты к ней попробовал добавить в конфиг UseGlobbing off, запустил proftpd, тестирую ;-)
О результатах отпишусь.

surok
рядовой
Сообщения: 21
Зарегистрирован: 2010-05-01 20:54:20

Re: Proftpd взбесился

Непрочитанное сообщение surok » 2010-11-16 9:40:32

Пока полёт нормальный, но в логах ещё нет признаков той атаки, жду до конца рабочего дня :)

surok
рядовой
Сообщения: 21
Зарегистрирован: 2010-05-01 20:54:20

Re: Proftpd взбесился

Непрочитанное сообщение surok » 2010-11-16 21:47:42

Вот уже больше суток полёт нормальный. Похоже UseGlobbing off помогло. master_255 огромное спасибо, Вы сберегли мне 10 кг нервов! :drinks:

icb
лейтенант
Сообщения: 747
Зарегистрирован: 2008-07-15 16:11:11

Re: Proftpd взбесился

Непрочитанное сообщение icb » 2010-11-18 11:05:33

Несколько дней FTP простоял нормально, но сегодня опять куча процессов и ест ресурсы :(
Похоже UseGlobbing off не помогает.

surok
рядовой
Сообщения: 21
Зарегистрирован: 2010-05-01 20:54:20

Re: Proftpd взбесился

Непрочитанное сообщение surok » 2010-11-25 2:05:06

icb писал(а):Несколько дней FTP простоял нормально, но сегодня опять куча процессов и ест ресурсы :(
Похоже UseGlobbing off не помогает.
Даже не знаю, что сказать. Я на всех машинах добавил в конфиг UseGlobbing off и до сих пор всё нормально, хотя в логах обнаружил злополучный айпишник и попытки множественных открытий сессий. :pardon:

Миха
проходил мимо

Re: Proftpd взбесился

Непрочитанное сообщение Миха » 2010-11-30 20:31:00

тоже прописал в конфиге, нормально все было недели 2

щас опять загрузка под 30

кто-нить пробовал обновляться до посл. версии ?

surok
рядовой
Сообщения: 21
Зарегистрирован: 2010-05-01 20:54:20

Re: Proftpd взбесился

Непрочитанное сообщение surok » 2010-12-02 22:39:44

Да, Вы абсолютно правы. Сегодня тоже словил старого знакомого в виде атаки :(

surok
рядовой
Сообщения: 21
Зарегистрирован: 2010-05-01 20:54:20

Re: Proftpd взбесился

Непрочитанное сообщение surok » 2010-12-02 23:14:48

Сейчас из дома буду обновлять proftpd, пока освежаю порты :smile: Ну и как в прошлый раз о результате отпишусь.

surok
рядовой
Сообщения: 21
Зарегистрирован: 2010-05-01 20:54:20

Re: Proftpd взбесился

Непрочитанное сообщение surok » 2010-12-02 23:33:34

обновил до 1.3.3с_3, UseGlobbing off закомментировал. Жду что получиться ;-)

Аватара пользователя
gloom
лейтенант
Сообщения: 738
Зарегистрирован: 2008-03-13 16:29:12
Откуда: UA

Re: Proftpd взбесился

Непрочитанное сообщение gloom » 2010-12-03 1:03:01

http://www.opennet.ru/opennews/art.shtml?num=28866
вы эту новость видели?!

surok
рядовой
Сообщения: 21
Зарегистрирован: 2010-05-01 20:54:20

Re: Proftpd взбесился

Непрочитанное сообщение surok » 2010-12-03 1:37:27

gloom писал(а):http://www.opennet.ru/opennews/art.shtml?num=28866
вы эту новость видели?!
Да перед тем как обновиться я зашёл на официальный сайт, где уже сообщалось, что всё исправлено. Что касается исходной проблемы, то тут совсем в другом дело, ибо proftpd был установлен до вскрытия уязвимости почти как год.

surok
рядовой
Сообщения: 21
Зарегистрирован: 2010-05-01 20:54:20

Re: Proftpd взбесился

Непрочитанное сообщение surok » 2010-12-03 19:12:53

Ну вроде день прошёл спокойно, хотя из прошлого опыта не стану утверждать, что это решило проблему.

surok
рядовой
Сообщения: 21
Зарегистрирован: 2010-05-01 20:54:20

Re: Proftpd взбесился

Непрочитанное сообщение surok » 2010-12-06 14:14:40

Кто нибудь ещё обновлялся? У меня пока на машинах тихо, но загадывать как то не хочу :smile:

Миха
проходил мимо

Re: Proftpd взбесился

Непрочитанное сообщение Миха » 2010-12-11 7:58:27

В общем UseGlobbing off мне не помогло

седня обновился до посл. версии proftpd-1.3.3c_1

кусок лога до обновления:

Код: Выделить всё

Dec 09 19:32:59 server proftpd[49498] server (64.15.155.27[64.15.155.27]): FTP session opened.
Dec 09 19:32:59 server proftpd[49509] server (64.15.155.27[64.15.155.27]): FTP session opened.
Dec 09 19:33:00 server proftpd[49513] server (64.15.155.27[64.15.155.27]): FTP session opened.
Dec 09 19:33:00 server proftpd[49515] server (64.15.155.27[64.15.155.27]): FTP session opened.
Dec 09 19:33:00 server proftpd[49525] server (64.15.155.27[64.15.155.27]): FTP session opened.
Dec 09 19:33:01 server proftpd[49533] server (64.15.155.27[64.15.155.27]): FTP session opened.
Dec 09 19:33:01 server proftpd[49542] server (64.15.155.27[64.15.155.27]): FTP session opened.
Dec 09 19:33:01 server proftpd[49552] server (64.15.155.27[64.15.155.27]): FTP session opened.
Dec 09 19:33:02 server proftpd[49556] server (64.15.155.27[64.15.155.27]): FTP session opened.
Dec 09 19:33:02 server proftpd[49568] server (64.15.155.27[64.15.155.27]): FTP session opened.
Dec 09 19:33:03 server proftpd[49571] server (64.15.155.27[64.15.155.27]): FTP session opened.
Dec 09 19:33:03 server proftpd[49579] server (64.15.155.27[64.15.155.27]): FTP session opened.
Dec 09 19:33:04 server proftpd[49584] server (64.15.155.27[64.15.155.27]): FTP session opened.
Dec 09 19:33:05 server proftpd[49593] server (64.15.155.27[64.15.155.27]): FTP session opened.
Dec 09 19:33:05 server proftpd[49599] server (64.15.155.27[64.15.155.27]): FTP session opened.
Dec 09 19:33:05 server proftpd[49606] server (64.15.155.27[64.15.155.27]): FTP session opened.
Dec 09 19:33:06 server proftpd[49612] server (64.15.155.27[64.15.155.27]): FTP session opened.
Dec 09 19:33:07 server proftpd[49619] server (64.15.155.27[64.15.155.27]): FTP session opened.
Dec 09 19:33:07 server proftpd[49623] server (64.15.155.27[64.15.155.27]): FTP session opened.

вот лог после обновления

Код: Выделить всё

Dec 11 00:40:27 server proftpd[32548] server(195.13.225.227[195.13.225.227]): FTP session opened.
Dec 11 00:40:27 server proftpd[32548] server(195.13.225.227[195.13.225.227]): FTP session closed.
Dec 11 01:32:05 server proftpd[65482] server(93.186.242.6[93.186.242.6]): FTP session opened.
Dec 11 01:32:05 server proftpd[65482] server(93.186.242.6[93.186.242.6]): FTP session closed.

советую обновляться, проблема решилась
Последний раз редактировалось f_andrey 2010-12-11 10:06:29, всего редактировалось 1 раз.
Причина: Автору, оформляйте сообщение по человечески.

M@}{
проходил мимо

Re: Proftpd взбесился

Непрочитанное сообщение M@}{ » 2010-12-18 21:34:03

Интересно, а это нормально что теперь ProFTP биндится от рута, или сново баг?
Раньше когда юзер открывал сессию, он биндился от пользователя.

Код: Выделить всё

FreeBSD 8.1-RELEASE amd64 
proftpd-1.3.3c_3    Highly configurable ftp daemon