Страница 1 из 1
Proftpd взбесился
Добавлено: 2010-11-15 12:13:33
surok
Я искренне прошу прощения за такое название темы. Но просто у меня нет объяснения тому, что увидел сегодня в выводе top'а на одном из серверов.
Система FreeBSD 8.0-RELEASE.
В качестве фтп сервера установлен proftpd авторизация из файла. Уже почти год всё работает отлично, но вот сегодня появилась проблема.
Проблема в том что процессы начинают грузить систему на 100%. Остановка, ровно как и перезапуск не помогают, бешенство останавливается только при ребуте машины. Пожалуйста помогите, я просто не знаю, что делать.
Спасает то, что сервер один из многих в стойке и на него идёт не такая уж большая нагрузка, но это не норма, что четырёхядерный ксеон уходит в такой загул из-за профтпд.
Конфиг proftpd:
Код: Выделить всё
ServerName "evksoft ofice FTP"
ServerType standalone
DefaultServer on
#ScoreboardFile /var/run/proftpd/proftpd.scoreboard
Port 21
PassivePorts 60000 65535
#UseIPv6 off
Umask 022
MaxInstances 30
CommandBufferSize 512
User ftp
Group ftp
RequireValidShell off
DefaultRoot ~ !ftp_evksoft
ServerLog /usr/local/ftp/ftpserver/proftpd.log
AuthUserFile /usr/local/ftp/ftpserver/userftp.txt
AuthGroupFile /usr/local/ftp/ftpserver/groupftp.txt
UseReverseDNS off
IdentLookups off
ListOptions "-a"
AllowStoreRestart on
<Directory ~>
AllowOverwrite on
<Limit Write>
AllowAll
</Limit>
<Limit READ>
AllowAll
</Limit>
</Directory>
<Limit SITE_CHMOD>
AllowAll
</Limit>
Re: Proftpd взбесился
Добавлено: 2010-11-15 12:22:22
surok
Нашёл в логах профтпд то, что за несколько минут до этого безобразия в течении получаса с одного айпи идёт по 3-4 запроса в секунду на открытие фпт сессий, но потом профтпд сдаётся и перестаёт писать логи и сваливается в это безобразие
Этот айпишник заблочил, но думаю раз нащупали уязвимость то продолжат долбить её до победного. Помогите как закрыть дыру и решить проблему.
Re: Proftpd взбесился
Добавлено: 2010-11-15 12:27:38
master_255
Re: Proftpd взбесился
Добавлено: 2010-11-15 12:33:15
surok
proftpd-1.3.2b
Re: Proftpd взбесился
Добавлено: 2010-11-15 12:43:16
surok
Пока остановил proftpd и заблочил тот айпишник, но это никак не решение
может кто сталкивался с такой проблемой помогите советом.
Re: Proftpd взбесился
Добавлено: 2010-11-15 13:09:50
surok
Прочитал статью ещё раз, а также комменты к ней попробовал добавить в конфиг UseGlobbing off, запустил proftpd, тестирую
О результатах отпишусь.
Re: Proftpd взбесился
Добавлено: 2010-11-16 9:40:32
surok
Пока полёт нормальный, но в логах ещё нет признаков той атаки, жду до конца рабочего дня
Re: Proftpd взбесился
Добавлено: 2010-11-16 21:47:42
surok
Вот уже больше суток полёт нормальный. Похоже UseGlobbing off помогло.
master_255 огромное спасибо, Вы сберегли мне 10 кг нервов!
Re: Proftpd взбесился
Добавлено: 2010-11-18 11:05:33
icb
Несколько дней FTP простоял нормально, но сегодня опять куча процессов и ест ресурсы
Похоже
UseGlobbing off не помогает.
Re: Proftpd взбесился
Добавлено: 2010-11-25 2:05:06
surok
icb писал(а):Несколько дней FTP простоял нормально, но сегодня опять куча процессов и ест ресурсы
Похоже
UseGlobbing off не помогает.
Даже не знаю, что сказать. Я на всех машинах добавил в конфиг
UseGlobbing off и до сих пор всё нормально, хотя в логах обнаружил злополучный айпишник и попытки множественных открытий сессий.
Re: Proftpd взбесился
Добавлено: 2010-11-30 20:31:00
Миха
тоже прописал в конфиге, нормально все было недели 2
щас опять загрузка под 30
кто-нить пробовал обновляться до посл. версии ?
Re: Proftpd взбесился
Добавлено: 2010-12-02 22:39:44
surok
Да, Вы абсолютно правы. Сегодня тоже словил старого знакомого в виде атаки
Re: Proftpd взбесился
Добавлено: 2010-12-02 23:14:48
surok
Сейчас из дома буду обновлять proftpd, пока освежаю порты
Ну и как в прошлый раз о результате отпишусь.
Re: Proftpd взбесился
Добавлено: 2010-12-02 23:33:34
surok
обновил до 1.3.3с_3, UseGlobbing off закомментировал. Жду что получиться
Re: Proftpd взбесился
Добавлено: 2010-12-03 1:03:01
gloom
Re: Proftpd взбесился
Добавлено: 2010-12-03 1:37:27
surok
Да перед тем как обновиться я зашёл на официальный сайт, где уже сообщалось, что всё исправлено. Что касается исходной проблемы, то тут совсем в другом дело, ибо proftpd был установлен до вскрытия уязвимости почти как год.
Re: Proftpd взбесился
Добавлено: 2010-12-03 19:12:53
surok
Ну вроде день прошёл спокойно, хотя из прошлого опыта не стану утверждать, что это решило проблему.
Re: Proftpd взбесился
Добавлено: 2010-12-06 14:14:40
surok
Кто нибудь ещё обновлялся? У меня пока на машинах тихо, но загадывать как то не хочу
Re: Proftpd взбесился
Добавлено: 2010-12-11 7:58:27
Миха
В общем UseGlobbing off мне не помогло
седня обновился до посл. версии proftpd-1.3.3c_1
кусок лога до обновления:
Код: Выделить всё
Dec 09 19:32:59 server proftpd[49498] server (64.15.155.27[64.15.155.27]): FTP session opened.
Dec 09 19:32:59 server proftpd[49509] server (64.15.155.27[64.15.155.27]): FTP session opened.
Dec 09 19:33:00 server proftpd[49513] server (64.15.155.27[64.15.155.27]): FTP session opened.
Dec 09 19:33:00 server proftpd[49515] server (64.15.155.27[64.15.155.27]): FTP session opened.
Dec 09 19:33:00 server proftpd[49525] server (64.15.155.27[64.15.155.27]): FTP session opened.
Dec 09 19:33:01 server proftpd[49533] server (64.15.155.27[64.15.155.27]): FTP session opened.
Dec 09 19:33:01 server proftpd[49542] server (64.15.155.27[64.15.155.27]): FTP session opened.
Dec 09 19:33:01 server proftpd[49552] server (64.15.155.27[64.15.155.27]): FTP session opened.
Dec 09 19:33:02 server proftpd[49556] server (64.15.155.27[64.15.155.27]): FTP session opened.
Dec 09 19:33:02 server proftpd[49568] server (64.15.155.27[64.15.155.27]): FTP session opened.
Dec 09 19:33:03 server proftpd[49571] server (64.15.155.27[64.15.155.27]): FTP session opened.
Dec 09 19:33:03 server proftpd[49579] server (64.15.155.27[64.15.155.27]): FTP session opened.
Dec 09 19:33:04 server proftpd[49584] server (64.15.155.27[64.15.155.27]): FTP session opened.
Dec 09 19:33:05 server proftpd[49593] server (64.15.155.27[64.15.155.27]): FTP session opened.
Dec 09 19:33:05 server proftpd[49599] server (64.15.155.27[64.15.155.27]): FTP session opened.
Dec 09 19:33:05 server proftpd[49606] server (64.15.155.27[64.15.155.27]): FTP session opened.
Dec 09 19:33:06 server proftpd[49612] server (64.15.155.27[64.15.155.27]): FTP session opened.
Dec 09 19:33:07 server proftpd[49619] server (64.15.155.27[64.15.155.27]): FTP session opened.
Dec 09 19:33:07 server proftpd[49623] server (64.15.155.27[64.15.155.27]): FTP session opened.
вот лог после обновления
Код: Выделить всё
Dec 11 00:40:27 server proftpd[32548] server(195.13.225.227[195.13.225.227]): FTP session opened.
Dec 11 00:40:27 server proftpd[32548] server(195.13.225.227[195.13.225.227]): FTP session closed.
Dec 11 01:32:05 server proftpd[65482] server(93.186.242.6[93.186.242.6]): FTP session opened.
Dec 11 01:32:05 server proftpd[65482] server(93.186.242.6[93.186.242.6]): FTP session closed.
советую обновляться, проблема решилась
Re: Proftpd взбесился
Добавлено: 2010-12-18 21:34:03
M@}{
Интересно, а это нормально что теперь ProFTP биндится от рута, или сново баг?
Раньше когда юзер открывал сессию, он биндился от пользователя.
Код: Выделить всё
FreeBSD 8.1-RELEASE amd64
proftpd-1.3.3c_3 Highly configurable ftp daemon