Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 20 replies
  • Subscribers 38 subscribers
  • Views 13047 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Backdoor in Astaro UTM V9?

tomsmith_01
Hallo,

Port 21 ist offen für alle Zugriffe, obwohl kein FTP Proxy oder NAT Regel aktiv ist. Macht man einen Scan z.B.: nmap, bekommt man zurück der Port 21 ist filtered, soweit ok, sobald man aber einen telnet von ausserhalb auf Port 21 absetzt, bekommt man dies:

Escape character is '^]'.

[:$] very secure astaro

Ist es ein Backdoor? Was meint ihr? Welche Ports sind noch offen, welche wir noch nicht kennen? Das Vertrauen ist nun mal weg.

Danke für ihr Feedback.

Gruss, Tom

PS.: habe eine fw rule eingerichtet, from any (FTP) to WAN adress, dann nochmals von extern telnet ip 21 und:
Escape character is '^]'.
[:@]


This thread was automatically locked due to age.
  • 0
    Hallo,

    Port 21 ist offen für alle Zugriffe, obwohl kein FTP Proxy oder NAT Regel aktiv ist. Macht man einen Scan z.B.: nmap, bekommt man zurück der Port 21 ist filtered, soweit ok, sobald man aber einen telnet von ausserhalb auf Port 21 absetzt, bekommt man dies:

    Escape character is '^]'.

    [:$] very secure astaro

    Ist es ein Backdoor? Was meint ihr? Welche Ports sind noch offen, welche wir noch nicht kennen? Das Vertrauen ist nun mal weg.

    Danke für ihr Feedback.

    Gruss, Tom

    PS.: habe eine fw rule eingerichtet, from any (FTP) to WAN adress, dann nochmals von extern telnet ip 21 und:
    Escape character is '^]'.
    [:@]



    Hi Tom

    Meine Vermutung ist (wie in 99% aller anderen Fälle auch), dass im FTP Proxy "ANY" als Source drinsteht, oder ein transparenter Router vor Deiner UTM steht der FTP offen hat, oder eine DNAT Regel existiert die FTP weiterleitet. Von der Meldung her tippe ich auf den FTP Proxy.

    Nebenbei:
    Auch wenn ich die aktuelle "Backdoor Awareness" bei jeglichen Produkten ALLER Hersteller bei den Benutzern grundsätzlich für gut und gesund halte, sind solche "Backdoor Vermutungen" in 99,98% auf Anwenderfehler, 0,01% auf Bugs zurückzuführen, und der Rest *könnte* auf Backdoors zurückzuführen sein.

    Sorry for short answers and typos. was written on mobile using astaro.org app.
  • 0
    FTP Proxy war und ist OFF, Allowed Networks ist leer, keine Einträge. [:$]

    Grüsse, Tom
  • 0 in reply to tomsmith_01
    FTP Proxy war und ist OFF, Allowed Networks ist leer, keine Einträge. [:$]

    Grüsse, Tom


    interssant ist, dass im Firewall die Verbindung als DROP angezeigt wird [:)]
    15:26:36  Default DROP  TCP  outside IP  :  19520 →myUTM IP :  21 [SYN]  len=48  ttl=55  tos=0x00  srcmac=macdress dstmac=macadress

    aber es wird trotzdem angenommen:
    Escape character is '^]'.

    Also, DNAT können wir ausschliessen, FTP Proxy können wir ausschliessen, ein Router der vor UTM steht können wir ausschliessen, was bleibt dann übrig? ein "versehentlicher" Bug seitens Sophos? [8-)]

    Gruss, Tom
  • 0
    Ich habe nicht dieses problem in Jeder auf meine installationen, habe es gleich getestet, wie sieht der FTP banner aus??

    Gruss, Martin
    (Sorry for my bad german - I'm Danish :-) )

    -----

    Best regards
    Martin

    Sophos XGS 2100 @ Home | Sophos v20 Technician

  • 0 in reply to twister5800
    Ich habe nicht dieses problem in Jeder auf meine installationen, habe es gleich getestet, wie sieht der FTP banner aus??

    Gruss, Martin
    (Sorry for my bad german - I'm Danish :-) )


    Hi Martin,

    Kein Banner. 
    Hier noch ein ftp connect:

    $ ftp myUTM
    Connected myUTM (nur über WAN, im LAN keine connection)

    Es sieht sehr verdächtig aus.

    PS: Firmware Version: 9.108-23

    Gruss, Tom
  • 0
    Hast du versucht es Zu rebboten?

    Verbindest du via WAN oder LAN mit FTP, also von welchen zeite?

    Gruss, Martin

    -----

    Best regards
    Martin

    Sophos XGS 2100 @ Home | Sophos v20 Technician

  • 0 in reply to twister5800
    Hast du versucht es Zu rebboten?

    Verbindest du via WAN oder LAN mit FTP, also von welchen zeite?

    Gruss, Martin


    Ich habe erst vor ein paar Tagen rebooted, ich will es vermeiden.

    Connect nur von WAN geht, von LAN nicht.

    resp. von LAN aus sind wir gegen FTP Zugriffe sicher! [:P] je weiter desto mehr vermute ich hier ein Backdoor. Warum auf Port 21? kann Astaro nicht ein xy Port dafür verwenden ohne die Kunden zu verärgern?
  • 0
    Wenn alle DNAT reglen deaktiviert ist und die FTP proxy auch, da kann Ich ja leider nich helfen, da muss ein fehler bei deine installation werden.

    Versuch mit FTP Proxy "ON" und bald wider "OFF", gibt es etwas?

    Ps. Mit paranoia, versuch ein "SHUTDOWN" von den UTM und versuch Wieder mit FTp from WAN, was geschiedt denn?

    -----

    Best regards
    Martin

    Sophos XGS 2100 @ Home | Sophos v20 Technician

  • 0 in reply to twister5800
    Wenn alle DNAT reglen deaktiviert ist und die FTP proxy auch, da kann Ich ja leider nich helfen, da muss ein fehler bei deine installation werden.

    Versuch mit FTP Proxy "ON" und bald wider "OFF", gibt es etwas?

    Ps. Mit paranoia, versuch ein "SHUTDOWN" von den UTM und versuch Wieder mit FTp from WAN, was geschiedt denn?


    Danke für deine Antworten, habe dies mit FTP Proxy schon versucht, hilft nicht. Abschalten und nochmals telnet macht aus meiner Sicht keinen Sinn, da im Firewall Log der Eintrag erkannt und DROP'ed wurde. 

    Gruss Tom
  • 0
    Okay...das ist ja garnicht gut! hast du SHELL ACCESS öffen?

    -----

    Best regards
    Martin

    Sophos XGS 2100 @ Home | Sophos v20 Technician

Unfiltered HTML