Forum Linux.général Proftpd et accès anonyme

Posté par (page perso) .
Tags : aucun
0
15
sept.
2008
Bonjour,

Un serveur d'un ami a récemment été la source d'un encombrement du disque dur lié à des fichiers dans le répertoire "/tmp". Ces fichiers comportaient tous des noms type "aléatoire" et contenais des logs de modifications récentes sur Wikipédia...

En cherchant un peu, j'ai découvert maintes tentatives de connexions au serveur FTP via l'accès anonyme. Jusque là rien d'étonnant puisqu'il permet cet accès... mais en lecture seulement.

Sa configuration ne permet pas, (à mon avis), l'écriture sur son serveur, or il semble bien que ce soit la source de l'encombrement remarqué puisque depuis l'arrêt de se service, aucun fichier n'a été écrit.

Voici la partie concernée de la configuration de proftpd: http://pastebin.com/m25b08d5c

Je me demande un peu comment c'est possible... Si vous avez des idées, j'adapterais la configuration pour éviter que cela ne se reproduise.
  • # bah simplement

    Posté par . Évalué à 3.

    parcequ'un acces, meme anonyme, genere des logs.

    5000 acces = 5000x N lignes de logs => des fichiers de logs qui grossissent...

    et si tu coupes le ftp, il n'y a plus d'accés, donc plus de remplissage du fichier de log.

    enfin je peux aussi me tromper.
    • [^] # Re: bah simplement

      Posté par (page perso) . Évalué à 2.

      Oui, les logs c'est une chose, mais là il s'agit de fichiers uploadés (ou de tentatives d'upload) qui génèrent dans /tmp des fichiers aux noms bizarres mais dont le contenu se trouve être des résumés de modifications de Wikipédia...

      J'imagine que c'est une façon de créer du contenu lourd que de prendre ces journaux, mais je ne comprend pas comment ils peuvent se retrouver sur mon /tmp alors que l'accès anonyme ne permet pas d'écrire normalement.
      • [^] # Re: bah simplement

        Posté par . Évalué à 2.

        il n'aurait pas un site style wiki sur son serveur ?

        du coup ce ne serait pas le FTP, mais juste le http qui genere les pages dans le /tmp avant de les mettre dans la base...

        sinon, oui une tentative d'upload sur un site web passe parfois par le /tmp/
        puis, une fois l'upload reussi, deplace le fichier de /tmp/ dans le bon dossier.

        regarde plutot s'il n'y a pas un serveur web qui tourne sur son serveur.
        • [^] # Re: bah simplement

          Posté par (page perso) . Évalué à 2.

          J'ai regardé cette piste puisqu'en effet la coupure du FTP n'a pas arrêter la création de ces fichiers... Mais le wiki n'a aucune activité en ce moment et pourtant ces fichiers continuent à être crées et pour bien connaitre Wikipédia, ce sont bien les logs de ce site.

          J'espère que le serveur n'est pas compromis (les différents logs ne semblent pas montrer d'intrusion, la liste des process semble cohérente...)...
          • [^] # Re: bah simplement

            Posté par . Évalué à 2.

            n'y aurait-il pas une mise à jour du wiki de maniere automatique ?
            une indexation des pages qui se lance a intervalle regulier (pour que le moteur de recherche soit reactif ?)
            • [^] # Re: bah simplement

              Posté par (page perso) . Évalué à 2.

              Le contenu des fichiers en question n'a absolument aucun rapport avec le contenu du wiki. Il s'agit clairement de logs d'un autre Wiki (Wikipédia surement) dont je ne trouve aucune trace sur ce serveur :(

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.