Hilfe bei ProFtpd

[Hardi]

Hi Leute,

ich bekomm irgendwie den ProFtpd nicht zum laufen. Hab dutzende seiten durchforstet und auch standart configs ausprobiert
aber irgendwie bekomm ichs nicht gebacken.

Meine momentane Config sieht wie folgt aus:

Code: Alles auswählen

ServerType              standalone
PidFile                 /var/run/proftpd.pid

MaxInstances            30
MaxConnectionRate       4
SocketBindTight         off
UseReverseDNS           off
AuthPAM			off
AuthGroupFile /etc/proftpd/ftpd.group
RootRevoke              on
DefaultServer           on
MultilineRFC2228        on

<IfModule mod_delay.c>
        DelayEngine     off
        DelayTable      /var/run/proftpd/proftpd.delay
</IfModule>

<IfModule mod_tls.c>
        TLSProtocol     SSLv23
</IfModule>

# Log-Formate definieren
SystemLog               NONE
LogFormat default       "%h %l %u %t \"%r\" %s %b"
LogFormat auth          "%v [%P] %h %t \"%r\" %s"
LogFormat write         "%h %l %u %t \"%r\" %s %b"



# --------------------------------------------
# globale Settings
# --------------------------------------------

<Global>
        User                    nobody
        Group                   nogroup


        # --------------------------------------------
        # Login
        # --------------------------------------------

        ServerIdent             on "FTP server ready."
        DeferWelcome            on
        DisplayConnect          /etc/proftpd.msg

        IdentLookups            off
        UseFtpUsers             off
        RequireValidShell       off

        TimeoutLogin            60
        MaxLoginAttempts        3
        MaxClientsPerHost       3

        # --------------------------------------------
        # TLS Standards
        # --------------------------------------------

        <IfModule mod_tls.c>
                TLSEngine               off
                TLSTimeoutHandshake     60
                TLSRequired             off
                TLSVerifyClient         off
        
                TLSOptions              NoCertRequest
                TLSLog                  /var/log/proftpd/tls.log
        </IfModule>


        # --------------------------------------------
        # Post-Login, Timeouts
        # --------------------------------------------

        PassivePorts            49152 65534
        DisplayLogin            welcome.msg
        DisplayFirstChdir       .message
        AllowOverride           off
        TimeoutIdle             600             # Inaktivitaet
        TimeoutNoTransfer       3600            # keine Datenuebertragung (Listing, File, ...)
        TimeoutStalled          300             # haengende Datenuebertragung
        TimeoutSession          7200            # Gesamtdauer einer Session


        # --------------------------------------------
        # Session
        # --------------------------------------------

        DefaultRoot             ~

        DenyFilter              \*.*/
        ListOptions             "-An +R" strict
        UseGlobbing             off

        ShowSymlinks            on
        TimesGMT                on


        # --------------------------------------------
        # Up- & Download
        # --------------------------------------------

        AllowOverwrite          on
        AllowRetrieveRestart    on
        HiddenStores            on
        DeleteAbortedStores     on
        AllowStoreRestart       off             



        # --------------------------------------------
        # Datei & Verzeichnis
        # --------------------------------------------

        Umask 0017 0007


        ### hierher alle <Directory>-Bloecke


        # --------------------------------------------
        # Anonymous FTP
        # --------------------------------------------

#       <Anonymous /home/ftp>
#               User            ftp
#               Group           ftpuser
#               UserAlias       anonymous ftp
#
#               MaxClients      5           


        # --------------------------------------------
        # Logging
        # --------------------------------------------

        WtmpLog         off
        TransferLog     /var/log/proftpd/xferlog

        # Record all logins
        ExtendedLog     /var/log/proftpd/auth.log       AUTH auth
        # Logging file/dir access
        ExtendedLog     /var/log/proftpd/access.log     WRITE,READ write
        # Paranoia logging level....
        ExtendedLog     /var/log/proftpd/paranoid.log   ALL default
        # fuer Debug: alle modMySQL Kommentare (Datenmenge immens!)
        #SQLLogFile     /var/log/proftpd/sql.log
</Global>

# --------------------------------------------
# Standard-Server
# --------------------------------------------

DefaultAddress          192.168.1.100
ServerName              hc-fpt
ServerAdmin             hc.home.server@gmail.com
MasqueradeAddress       hc-home.dlinkddns.com

<IfModule mod_tls.c>
        TLSEngine                       on
        TLSRSACertificateFile           /etc/ssl/certs/meinserver.tld.cert
        TLSRSACertificateKeyFile        /etc/ssl/certs/meinserver.tld.key
</IfModule>

Da ich virtuelle User nutzen möchte, habe ich das dann via ftpasswd wie folgt gemacht:

Code: Alles auswählen

cd /etc/proftpd
ftpasswd --passwd --name web --uid 9999 --home /var/www --shell /bin/false

Dann noch ne virtuelle Gruppe angelegt:

Code: Alles auswählen

ftpasswd --group --name ftpuser -gid 9999

Und noch den User der Gruppe zugeordnet:

Code: Alles auswählen

ftpasswd --group --member web --name ftpuser --gid 9999

Allerdings kann ich mich nicht mit dem ftp-Server verbinden und weis langsam nichtmehr warum.
Die Config is ne (nur leicht) angepasste Standartconfig und das anlegen virtueller User hab ich nach HowTo gemacht.

Gruß
Hardi

[syssi]

Was passiert denn, wenn du dich versuchst zu verbinden? Wird die Verbindung zurueckgewiesen (connection refused), funktioniert der Login nicht oder bleibt es beim ersten Datei-Listing stehen?

Gruss syssi

[Hardi]

Status: Auflösen der IP-Adresse für hc-home.dlinkddns.com
Status: Verbinde mit 93.218.21.175:21...
Status: Verbindung hergestellt, warte auf Willkommensnachricht...
Fehler: Herstellen der Verbindung zum Server fehlgeschlagen
Status: Nächsten Versuch abwarten...

ich glaube fast es hängt noch mit den virtuellen Benutzern zusammen.

die logdateien unter var/log/proftpd sind leer und die extendet logs aus der config sind noch nicht erstellt (denke mal das macht der server nach Bedarf).

versuch ich mit dem browser auf den ftp-server zuzugreifen, kommt nichts.

[syssi]

Hier eine aussagekraeftigere Meldung:

Code: Alles auswählen

$ telnet hc-home.dlinkddns.com ftp
Trying 93.218.40.56...
Connected to hc-home.dlinkddns.com.
Escape character is '^]'.
Connection closed by foreign host.
$

Starte den FTP-Server mal aus der Kommandozeile und das so gespraechig, wie nur moeglich

Code: Alles auswählen

sudo -u nobody /usr/sbin/proftpd -n -d 10 -c /etc/..yourconfig..

und verbinde dich aufs Neue. Mit Glueck wird er dir eine aussagekraeftige Fehlermeldung liefern.

Gruss syssi

[Hardi]

Ok, bei start über Kommandozeile bekomm ich dann folgendes:

Code: Alles auswählen

 - using TCP receive buffer size of 87380 bytes
 - using TCP send buffer size of 16384 bytes
 - testing Unix domain socket using S_ISFIFO
 - testing Unix domain socket using S_ISSOCK
 - using S_ISSOCK macro for Unix domain socket detection
 - <IfModule>: using 'mod_delay.c' section at line 15
 - <IfModule>: skipping 'mod_tls.c' section at line 20
 - retrieved UID 65534 for user 'nobody'
 - retrieved GID 65534 for group 'nogroup'
 - <IfModule>: skipping 'mod_tls.c' section at line 63
 - Fatal: unknown configuration directive 'DisplayFirstChdir' on line 83
of '/etc/proftpd/proftpd.conf'

versuche ich mich dann zu verbinden, erhalte ich vom Clienten (diesmal nen anderen verwendet):

[07:28:04] Resolving host name "hc-home.dlinkddns.com"
[07:28:04] Connecting to 93.218.55.229 Port: 21
[07:28:04] Connected to hc-home.dlinkddns.com.
[07:28:04] Server closed connection
[07:28:04] Connect failed. Error=0x80043112

Edit: über den Errorcode hab ich übrigens nichts rausgefunden.

Gruß
Hardi

[Cae]

Code: Alles auswählen

 - Fatal: unknown configuration directive 'DisplayFirstChdir' on line 83
of '/etc/proftpd/proftpd.conf'

Mach' doch die Augen auf. Ein Error oder Fatal wird verhindern, dass der Server das Gewünschte tut. Oder besser gesagt die Ursache vom Fatal.

Gruß Cae

[syssi]

Code: Alles auswählen

Rename DisplayFirstChdir to DisplayChdir

[Hardi]

ok, danke, jetzt komm ich schon mal ein ganzes Stück weiter.

Er meckert jetzt nurnoch, dass Port 21 bereits belegt sein.

Kann es sein, dass Debian bereits standartmäßig einen ftp-server hat, der mir jetzt den Port blockiert?

Code: Alles auswählen

192.168.1.100 - Failed binding to ::, port 21: Die Adresse wird bereits
verwendet
192.168.1.100 - Check the ServerType directive to ensure you are
configured correctly.

[nTraum]

Ein

Code: Alles auswählen

netstat -tulpn

zeigt dir an, welche Ports deine Prozesse gerade verwenden.

[Hardi]

erstmal danke für die ganze Hilfe bisher.

hm... sobald ich den Port freiräume, kommt wieder was anderes drauf.
Zuerst war "bind named" auf 21 (war wohl ein DNS server),
dann war irgend ein anderer prozess drauf und nachdem ich den auch erstmal deaktiviert hatte,
is jetzt Xtightvnc drauf... kann ich den Port irgendwie fest zuordnen?

[Hardi]

So, hab jetzt den FTP-server einfach mal auf nen anderen Port gesetzt.

Jetzt kommt jedoch:

Code: Alles auswählen

192.168.0.100 - ROOT PRIVS at pidfile.c:48
192.168.0.100 - RELINQUISH PRIVS at pidfile.c:50
192.168.0.100 - ROOT PRIVS at mod_ctrls.c:693
192.168.0.100 - RELINQUISH PRIVS at mod_ctrls.c:697
192.168.0.100 - scrubbing scoreboard
192.168.0.100 - ROOT PRIVS at scoreboard.c:1077
192.168.0.100 - RELINQUISH PRIVS at scoreboard.c:1079
192.168.0.100 - ROOT PRIVS at scoreboard.c:1117
192.168.0.100 - RELINQUISH PRIVS at scoreboard.c:1151

Verstehe ich das richtig, dass dem Proftpd-Server rechte fehlen?

[rendegast]

Zuerst war "bind named" auf 21 (war wohl ein DNS server),
dann war irgend ein anderer prozess drauf und nachdem ich den auch erstmal deaktiviert hatte,
is jetzt Xtightvnc drauf... kann ich den Port irgendwie fest zuordnen?

Das ist völlig abnormales Verhalten (falls Du es nicht selber total verkonfiguriert hast)

Bist Du Dir sicher noch Herr Deines Rechners zu sein?
-> Neuinstallation.
Zieh Dir noch ein Image für forensische Zwecke.

[Hardi]

Ich habe bisher nur Apache2, vnc server und ethtool konfiguriert, außerdem tippe ich keine Befehle in die Konsole von denen ich
nicht weis was sie machen. Also denke ich mal nicht, dass ich mein Debian verkonfiguriert habe.

Bist Du Dir sicher noch Herr Deines Rechners zu sein?

wann kann man das schon
Bisher gab es keine abnormalitäten außer dass ich meinen ftp-server nicht zum laufen bring
und schon gleich garnicht auf Port 21.

Mir is natürlich schon selbst aufgefallen, dass da was ganz gewaltig nicht stimmt, immerhin
gehört Port 21 nicht zu denen, die dynamisch belegt werden.

Aber ich hab leider auch absolut keine Ahnung warum doch ständig ein anderer Dienst (der nichts mit Port 21 zu tun hat)
ihn Blockiert.

Naja, sollte sich bis zum WE nichts ergeben, werd ich ihn dann wohl sicherheitshalber einfach neu aufsetzen.

BTT: Trotzdem stellt sich mir noch die Frage warum mein FTP-Server (unabhängig vom Port) nicht funktioniert.
könnte das o. g. mit fehlenden Rechten zu tun haben?

[Cae]

Aber ich hab leider auch absolut keine Ahnung warum doch ständig ein anderer Dienst (der nichts mit Port 21 zu tun hat)
ihn Blockiert.

Evtl. ist dein lsof/netstat durch eine obfuszierende Version ausgetauscht worden und der Port wird immer durch denselben Warez-FTPd blockiert?

Gruß Cae

[Hardi]

Kannst du mir das bitte etwas genauer erklären?

Beim Obfuskieren wird doch eigentlich ein Quelltext in (für Menschen) Kauderwelsch geschrieben.
Was hat das mit meinem Problem zu tun?

Und was den warez-ftp angeht, so wüsste ich nicht woher der kommen sollte. Ich nutze ausschließlich offizielle Quellen für Pakete.
Oder hab ich dich da falsch verstanden?

[rendegast]

Es ist egal ob Du weißt woher fremde Software kommt, falls das System kompromittiert wurde.

Dateien durch Programme eines rootkits auszutauschen ist gängige Technik derselben.

Wir wissen nicht, ob Du einen Einbruch hattest.
Wenn sich allerdings Dienste um den Port 21 schlagen, so ist das höchst verdächtig,
wenn auch vom rootkit nicht gerade unauffällig.



Was ich mir vielleicht noch denken könnte wäre eine Fehlkonfiguration des vnc-Servers,
was ein Mapping oder Umleitung in dieser falschen Weise produzieren könnte.
Wenn Du Da keine Erklärung hast, so ist Dein System verdächtig.

[Hardi]

Das mit dem VNC server schließe ich eigentlich aus. Bei dem muss ich lediglich ein shell-skript in init.d erstellen, da gehts nur um Kleinigkeiten wie Auflösung und Farbtiefe.

Ich werde den Server jetzt einfach erstmal runterfahren und am WE neu aufsetzen.
Danach werde ich das ganze erstmal lokal konfigurieren. Mal sehen was dabei raus kommt.

Danke für die Hilfe bis dahin.