Pure-FTPd : upload par défaut pour le mode anonyme
22 janvier 2016
Depuis quelques temps, je pensais être victime d’attaques, permettant à l’assaillant, à partir de WordPress, d’envoyer des fichiers dans les répertoire de mon serveur Ftp. Sous l’effet d’une bouffée délirante de type paranoïde, j’ai même cru qu’il s’agissait d’une action de Negative SEO. ;+)
Suite à des bogues avec Vsftpd (sans doute corrigés depuis), j’avais choisi Pure-FTPd à l’époque, présent sur CentOS. L’intérêt de ce serveur Ftp est de proposer une limite de bande passante pour les connexions anonymes.
A défaut de traces d’attaques dans les logs de mon serveur Apache, j’ai cherché du côté de mon serveur FTP. Et j’ai trouvé. Par défaut, la configuration de Pure-FTPd autorise le upload pour les accès anonymes du fait de cette directive :
AnonymousCantUpload no
Configuration de Pure-FTPd pour un accès anonyme sécurisé
Au final, j’ai configuré le mode anonyme dans le fichier /etc/pure-ftpd/pure-ftpd.conf comme suit :
MaxClientsNumber 10 AnonymousOnly yes NoAnonymous no LimitRecursion 10000 1 AnonymousCanCreateDirs no MaxLoad 4 PassivePortRange 27000 27999 AnonymousBandwidth 2000 AnonymousCantUpload yes AltLog w3c:/var/log/pureftpd.log MaxDiskUsage 25
La dernière « attaque »
Un gentil internaute m’a déposé un fichier ZIP comprenant dans un fichier SCR un virus de type cheval de Troie au doux nom de Win.Trojan.Virtob-1557. Ah oui, au fait, j’utilise ClamWin comme scanner antiviral. Il s’agit d’un logiciel Open Source. Je n’ai jamais eu d’intercepteur sur mes machines !
