Perguntas[ftp](computer)

Recentemente, fiz muitas pesquisas sobre como configurar um servidor FTP (VSFTPD 3.0.5) e protegê-lo a ponto de me sentir razoavelmente confortável em tirá-lo do meu armário e expô-lo à Internet a partir da minha rede doméstica para compartilhe com algumas pessoas selecionadas.

O servidor está em execução e exposto à Internet há cerca de 36 horas (olhos treinados de perto nos logs de conexão) e já notei pelo menos duas ocasiões distintas em que posso ver o que parece ser um punhado de IPs desconhecidos tentando (sem sucesso por todas as indicações que conheço) fazer login, ou talvez apenas confundir o prompt de login do FTP com lixo na esperança de quebrá-lo de alguma forma? Eu realmente não consigo entender o que eles estão fazendo aqui, se na verdade é um mau ator. Aqui está um exemplo dos logs do servidor:

Sat Jan  6 15:27:02 2024 [pid 1553282] CONNECT: Client "199.45.154.16"
Sat Jan  6 15:27:02 2024 [pid 1553282] FTP response: Client "199.45.154.16", "220 Take a file, leave a file."
Sat Jan  6 15:27:02 2024 [pid 1553282] FTP command: Client "199.45.154.16", "????????????!??#?_??NV????ZBV??M??R???E??MU l?"??w??s??]#????Y??w??""
Sat Jan  6 15:27:02 2024 [pid 1553282] FTP response: Client "199.45.154.16", "530 Please login with USER and PASS."
Sat Jan  6 15:27:02 2024 [pid 1553282] FTP command: Client "199.45.154.16"
Sat Jan  6 15:27:02 2024 [pid 1553282] FTP command: Client "199.45.154.16", "G??XP??????3?G???????9?K???????E?????????????#?????+?"
Sat Jan  6 15:27:02 2024 [pid 1553282] FTP response: Client "199.45.154.16", "530 Please login with USER and PASS."
Sat Jan  6 15:27:02 2024 [pid 1553282] FTP command: Client "199.45.154.16", "?$?????,?R?S???????????????'?/???(?0?`?A?V?W?????????????"
Sat Jan  6 15:27:02 2024 [pid 1553282] FTP response: Client "199.45.154.16", "530 Please login with USER and PASS."
Sat Jan  6 15:27:02 2024 [pid 1553282] FTP command: Client "199.45.154.16", "?/?<???????5?=???????A?????????????????????????<MY_HOME_IP>???????????????"
Sat Jan  6 15:27:02 2024 [pid 1553282] FTP response: Client "199.45.154.16", "530 Please login with USER and PASS."
Sat Jan  6 15:27:02 2024 [pid 1553282] FTP command: Client "199.45.154.16", "?"
Sat Jan  6 15:27:02 2024 [pid 1553282] FTP response: Client "199.45.154.16", "530 Please login with USER and PASS."
Sat Jan  6 15:27:03 2024 [pid 1553286] CONNECT: Client "199.45.154.16"
Sat Jan  6 15:27:03 2024 [pid 1553286] FTP response: Client "199.45.154.16", "220 Take a file, leave a file."
Sat Jan  6 15:27:03 2024 [pid 1553286] FTP command: Client "199.45.154.16", "??????????????F?Z?0????YE???L[7I?IQ?]Q????] ?A?3????!"1?h#u??u?K?m????xU?G?????????????????A???????=?5???????<?/?"
Sat Jan  6 15:27:03 2024 [pid 1553286] FTP response: Client "199.45.154.16", "530 Please login with USER and PASS."
Sat Jan  6 15:27:03 2024 [pid 1553286] FTP command: Client "199.45.154.16", "?????????????W?V?A?`?0?(???/?'???????????????S?R?,?????$?"
Sat Jan  6 15:27:03 2024 [pid 1553286] FTP response: Client "199.45.154.16", "530 Please login with USER and PASS."
Sat Jan  6 15:27:03 2024 [pid 1553286] FTP command: Client "199.45.154.16", "?+?????#?????????????E???????K?9???????G?3???????????????<MY_HOME_IP>???????????????"
Sat Jan  6 15:27:03 2024 [pid 1553286] FTP response: Client "199.45.154.16", "530 Please login with USER and PASS."
Sat Jan  6 15:27:03 2024 [pid 1553286] FTP command: Client "199.45.154.16", "?"
Sat Jan  6 15:27:03 2024 [pid 1553286] FTP response: Client "199.45.154.16", "530 Please login with USER and PASS."

Eles continuam fazendo coisas assim ou tentando fazer login como anonymouseu desativei. Percebi que os carimbos de data e hora estão tão próximos que tenho certeza de que deve ser algum tipo de automação/script. A IA sugeriu que os "comandos" poderiam ser criptografados ou ofuscados de alguma forma, mas acho que não, porque se eu fizer login e enviar comandos legítimos, o VSFTPD os registrará claramente em texto simples.

Estou pensando que alguém está procurando uma exploração em uma versão antiga do servidor? Eu li que houve um grande problema com o VSFTPD 2.3.4, então talvez seja assim que a exploração foi feita?

Estou chocado com a rapidez com que este servidor em execução no meu IP foi encontrado e estou tentando confirmar o que está acontecendo e se há algo proativo que posso fazer para permanecer seguro (além de colocar o servidor off-line). Atualmente, o VSFTPD não está bloqueado pelo IP de origem, embora eu esteja considerando isso agora. Também li algo sobre pessoas que usam fail2banservidores FTP? Nunca usei, mas se isso ajudar, estou interessado.

Existe um dispositivo IoT que executa um cliente FTP que transfere periodicamente os dados coletados para o servidor FTP. O dispositivo IoT é fornecido com a Internet, mas o IP do dispositivo é atribuído aleatoriamente, pois usa um cartão SIM de varejo. Por outro lado, o FTP tem algumas regras de segurança rígidas por causa disso, ele define a conexão do cliente se o IP estiver mudando.

Existe uma solução para este problema sem alterar nada no final do servidor FTP?

Seguindo minha outra pergunta sobre o uso do KeePass com fonte FTP , alguém pode me explicar o que não estou entendendo na imagem a seguir?

Ou estou perdendo alguma coisa ou o recurso de lembrar as credenciais de FTP não funciona na versão pública mais recente do KeePass (2.52).

O guia KeePass diz que esse recurso deve funcionar conforme o esperado:

KeePass pode lembrar as credenciais de FTP, se desejar. Você pode escolher entre lembrar tudo (nome de usuário e senha), parcialmente (somente nome de usuário) e não lembrar as credenciais.

Isso é algum tipo de bug ou estou fazendo algo errado?

_{BTW: Abrir o banco de dados não muda nada; da próxima vez, o KeePass pedirá a senha do FTP e faça o login novamente.}

Eu posso vincular meu telefone Android do pc em lan (suponha que seja 192.168.30.30):

lftp  192.168.30.30  #link android phone from pc
ls

O comando lsmostra todos os arquivos e pastas no telefone android, posso listar arquivos no pc (local no título) no console do lftp?

Instalei com sucesso o servidor Bitvise SSH em nosso Windows Server. Posso acessá-lo quando estou em nossa rede usando um cliente FTP como WinSCP ou Filezilla. No entanto, quando estou usando uma máquina fora da rede, o cliente não pode acessar meu host (ftp.domain.org). Consultei https://www.bitvise.com/getting-started-open-to-internet e https://www.bitvise.com/ssh-server-guide-opening e devo ficar bem (portas abertas). Há mais alguma coisa que devo verificar?

Poderia estar relacionado ao roteador em vez do servidor bitvise recém-instalado? Quero ter certeza de que explorei todas as possibilidades antes de verificar com o administrador da rede.

Eu tenho uma pequena VM configurada, que roda o Debian.

No meu vsftpd.confarquivo tem as seguintes linhas:

listen=YES
listen_ipv6=NO
connect_from_port_20=NO
anonymous_enable=NO
local_enable=YES
write_enable=YES
chroot_local_user=YES
allow_writeable_chroot=YES
secure_chroot_dir=/var/run/vsftpd/empty
pam_service_name=ftp
pasv_enable=YES
pasv_min_port=40000
pasv_max_port=45000
userlist_enable=YES
userlist_file=/etc/vsftpd.userlist
userlist_deny=NO
ssl_enable=NO

Quando me conecto com minha máquina para testar minhas configurações de FTP (através do FileZilla), este aviso aparece:

Insecure FTP connection

    This server does not support FTP over TLS. If you continue, your password and files will be sent
 in clear over the internet.

Host: the IP address of the VM
Port: 21

Mas, que eu saiba, ssl_enable=NOno vsftpd.confarquivo significa "Não use SSL/TLS", o que eu não quero, pois é um projeto introdutório ao FTP para mim. Este aviso não aparece quando me conecto à VM usando o terminal da minha máquina.

Qual é o problema? É uma coisa do FileZilla sempre pedir SSL/TLS, independentemente das configurações do servidor?

Acabei de descobrir essa coisa de sftp/ftp recentemente, é possível que criemos um diretório que possamos acessar em outro computador com o filezilla ou outro aplicativo semelhante, conecte-se ao meu pc doméstico como servidor.

Esses servidores também são computadores, então talvez eu ache que nosso pc doméstico como servidor isso pode funcionar?

Quando um cliente FTP popular relata um erro de "certificado desconhecido", isso significa que o certificado não foi configurado corretamente no servidor? O cliente FTP deve seguir a cadeia de certificados até a autoridade raiz e confiar nas coisas se tudo estiver bem, como um navegador da Web faz?

Estamos tentando solucionar uma situação em que um parceiro de negócios não consegue se conectar ao servidor FTP da plataforma de nuvem multilocatário onde obtemos colaboração de grupo de trabalho (compartilhamento de arquivos) e serviços FTP. A plataforma em nuvem pertence a um player de grande nome no setor.

Locatários individuais na plataforma não têm acesso a nenhum diagnóstico em tempo real. Então, abri um cliente FTP popular para Windows em meu desktop e tentei conectar a esse servidor FTP usando o protocolo FTPS pela porta 990 em modo passivo com TLS implícito, fornecendo as credenciais que demos a esse parceiro de negócios.

Meu cliente FTP informa que o certificado do servidor é desconhecido. Eu quero confiar nisso? E quando confio no certificado desconhecido, a conexão é bem-sucedida e a sessão FTPS prossegue normalmente.

O nome do servidor FTP tem este formato:

           tenantcompany.multitentantftpserver.com

O período de validade é bom, de um dia em janeiro de 2022 a um dia em janeiro de 2023.

E o "Assunto" do certificado é o seguinte (estou fornecendo nomes genéricos, não reais, e não os nomes do estado real e da localidade):

Common name: *.multitenantftpserver.com
Organization:  Multi-Tenant Systems\, Inc.   
Country: US
State or province: Mississippi
Locality:  Oxford
Alternative names:  *.multitenantftpserver.com
                    multitenantftpserver.com

A barra invertida está realmente lá na Organização na frente da vírgula, como se eles estivessem tentando "escapar" da vírgula. Algo assim poderia criar problemas para o reconhecimento do certificado?

e o "Emissor":

Common Name: DigiCert TLS RSA SHA256 2020 CA1
Organization: DigiCert Inc
Country: US

Existem três certificados na cadeia: 0: certificado do servidor; 1: certificado intermediário; 2 Certificado raiz.

O nome comum dos certificados intermediário e raiz é DigiCert Global Root CA.

Eu tenho um servidor linux de backups onde faço upload dos meus backups via lftp. Não tenho outra forma de acessar este servidor. Por algum motivo, não consigo excluir um arquivo oculto.

$ls -la
drwxr-xr-x    2 100        ftpgroup            3 Mar 11  2021 .
drwxr-xr-x    3 100        ftpgroup            3 Mar 11  2021 ..
-rw-r--r--    1 100        ftpgroup    168215172 Feb  8  2021 .pureftpd-upload.601fd

Eu tentei seguir os comandos, mas um funcionou.

$rm -rf .*
$glob -a rm -rf .*

Consigo excluir outros arquivos e pastas neste servidor.

comandos mv dá o seguinte erro

mv: Access failed: 553 Prohibited file name

Como faço para excluir este arquivo?

Meu cliente FTP está conectado a um servidor remoto e exibe o tráfego de upload. Mas não consigo ver esse tráfego em nenhum lugar: tanto o Fiddler quanto o Ressourcemonitor não exibem nenhuma conexão e tráfego FTP.

Como posso ver o tráfego de FTP com ferramentas de monitoramento?