Ich habe einen Windows 7-Computer mit FileZilla-Server. Ich habe vor einiger Zeit meine Protokolle gelesen und einen merkwürdigen Auszug zur Kenntnis genommen, den ich nicht verstehe.
199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)> 220 PlayNice in the SandBox
(000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)> USER anonymous
(000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)> 331 Password required for anonymous
(000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)> PASS **********
(000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)> 530 Login or password incorrect!
(000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)> help
(000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)> 214-The following commands are recognized:
(000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)> ABOR ADAT ALLO APPE AUTH CDUP CLNT CWD
(000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)> DELE EPRT EPSV FEAT HASH HELP LIST MDTM
(000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)> MFMT MKD MLSD MLST MODE NLST NOOP NOP
(000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)> OPTS P@SW PASS PASV PBSZ PORT PROT PWD
(000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)> QUIT REST RETR RMD RNFR RNTO SITE SIZE
(000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)> STOR STRU SYST TYPE USER XCUP XCWD XMKD
(000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)> XPWD XRMD
(000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)> 214 Have a nice day.
Hat jemand ohne Anmeldung eine Liste der verfügbaren Befehle abgerufen?
Ist das normal?
Sollte ich besorgt sein?
Ist das vermeidbar?
Was kann ich tun, außer das gesamte Subnetz zu sperren?
Antworten:
Ja das ist völlig normal. Das Protokoll erzwingt keine Authentifizierung an erster Stelle. Selbst eine anonyme Authentifizierung ist nicht erforderlich. Tatsächlich dienen die meisten FTP-Server nur zum Bereitstellen von Dateien. Sie sollten dies nicht als Sicherheitslücke betrachten. Sie können das mit jedem FTP-Server da draußen ausprobieren. Ich denke nicht, dass es vermeidbar ist.
quelle
Es gibt Befehle, die Sie bereits vor der Authentifizierung verwenden müssen, und Sie müssen möglicherweise eine Hilfe dazu anfordern.
Offensichtlich ist die
USER
,PASS
undAUTH
(für TLS).Aber zum Beispiel auch
HOST
( RFC 7151 ). Welcher FileZilla Server unterstützt das allerdings nicht?Selbst wenn Sie einen GUI-FTP-Client verwenden, muss der Client möglicherweise wissen, welche Befehle der Server unterstützt, damit Sie sich nicht um Hilfe kümmern. Das gilt insbesondere für den
HOST
Befehl. Wenn der Server dies unterstütztHOST
, muss der Client diesen Befehl zuvor sendenUSER
.Beachten Sie, dass der GUI-FTP-Client dies
FEAT
nicht verwenden würdeHELP
, die Konsequenzen jedoch dieselben sind.Es ist möglich, dass der Server Befehle
HELP
oderFEAT
Antworten, die ohne Authentifizierung nicht zulässig sind, nicht auflistet, bevor Sie sich tatsächlich authentifizieren. DieFEAT
Spezifikation RFC 2389 nennt diese Möglichkeit jedoch nicht. Daher kann eine solche Serverimplementierung einige Clients beschädigen (dieFEAT
vor der Authentifizierung verwendet werden und einen vollständigen Satz von Befehlen / Funktionen erwarten).quelle