Der FileZilla-FTP-Server bietet eine Hilfe zu Befehlen, noch bevor sich der Benutzer authentifiziert

Ich habe einen Windows 7-Computer mit FileZilla-Server. Ich habe vor einiger Zeit meine Protokolle gelesen und einen merkwürdigen Auszug zur Kenntnis genommen, den ich nicht verstehe.

199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)> 220 PlayNice in the SandBox
(000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)> USER anonymous
(000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)> 331 Password required for anonymous
(000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)> PASS **********
(000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)> 530 Login or password incorrect!
(000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)> help
(000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)> 214-The following commands are recognized:
(000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)>    ABOR   ADAT   ALLO   APPE   AUTH   CDUP   CLNT   CWD 
(000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)>    DELE   EPRT   EPSV   FEAT   HASH   HELP   LIST   MDTM
(000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)>    MFMT   MKD    MLSD   MLST   MODE   NLST   NOOP   NOP 
(000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)>    OPTS   P@SW   PASS   PASV   PBSZ   PORT   PROT   PWD 
(000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)>    QUIT   REST   RETR   RMD    RNFR   RNTO   SITE   SIZE
(000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)>    STOR   STRU   SYST   TYPE   USER   XCUP   XCWD   XMKD
(000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)>    XPWD   XRMD
(000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)> 214 Have a nice day.

Hat jemand ohne Anmeldung eine Liste der verfügbaren Befehle abgerufen?

Ist das normal?
Sollte ich besorgt sein?
Ist das vermeidbar?

Was kann ich tun, außer das gesamte Subnetz zu sperren?

Ja das ist völlig normal. Das Protokoll erzwingt keine Authentifizierung an erster Stelle. Selbst eine anonyme Authentifizierung ist nicht erforderlich. Tatsächlich dienen die meisten FTP-Server nur zum Bereitstellen von Dateien. Sie sollten dies nicht als Sicherheitslücke betrachten. Sie können das mit jedem FTP-Server da draußen ausprobieren. Ich denke nicht, dass es vermeidbar ist.

Es gibt Befehle, die Sie bereits vor der Authentifizierung verwenden müssen, und Sie müssen möglicherweise eine Hilfe dazu anfordern.

Offensichtlich ist die USER, PASSund AUTH(für TLS).

Aber zum Beispiel auch HOST( RFC 7151 ). Welcher FileZilla Server unterstützt das allerdings nicht?

Selbst wenn Sie einen GUI-FTP-Client verwenden, muss der Client möglicherweise wissen, welche Befehle der Server unterstützt, damit Sie sich nicht um Hilfe kümmern. Das gilt insbesondere für den HOSTBefehl. Wenn der Server dies unterstützt HOST, muss der Client diesen Befehl zuvor senden USER.

Beachten Sie, dass der GUI-FTP-Client dies FEATnicht verwenden würde HELP, die Konsequenzen jedoch dieselben sind.

Es ist möglich, dass der Server Befehle HELPoder FEATAntworten, die ohne Authentifizierung nicht zulässig sind, nicht auflistet, bevor Sie sich tatsächlich authentifizieren. Die FEATSpezifikation RFC 2389 nennt diese Möglichkeit jedoch nicht. Daher kann eine solche Serverimplementierung einige Clients beschädigen (die FEATvor der Authentifizierung verwendet werden und einen vollständigen Satz von Befehlen / Funktionen erwarten).