Proftpd cai o tempo todo em um EC2

Iniciado por emanueltavares, 14 de Abril de 2016, 14:51

tópico anterior - próximo tópico
Imprimir
Ir para o fim Páginas1 2 3
Ações

emanueltavares

14 de Abril de 2016, 14:51
Pessoal,

Encontrei aqui no forum uns dois tópicos com esse tema, mas não a solução.

Utilizo a plataforma AWS há um bom tempo e de uns tempos pra cá quando instalo o Proftpd ele cai por inatividade de tempos em tempos.

É um transtorno. Eu nunca tinha visto isso acontecer antes.

Rodo em modo Standalone e mascarando o IP.


Vlw!


Emanuel

zekkerj

#1
14 de Abril de 2016, 16:35
Defina "cai por inatividade".
Quem está caindo, o serviço, ou a conexão do cliente?
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

emanueltavares

#2
15 de Abril de 2016, 13:35
Cai o serviço.
Eu sou obrigado a dar um service proftpd restart o tempo todo.

[]'s

zekkerj

#3
15 de Abril de 2016, 13:53
O que os logs do sistema e do proftpd dizem? Alguma dica de qual seja o motivo?
Seu sistema está atualizado?
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

emanueltavares

#4
15 de Abril de 2016, 15:14
Eu fico imaginando em que log poderia constar algo.
Ele simplesmente para de aceitar conexões.
Eu encontrei mais dois posts aqui no fórum do final do ano passado com problemas semelhantes e sem resposta.

Segue meu proftpd.conf

Código Selecionar
#
# /etc/proftpd/proftpd.conf -- This is a basic ProFTPD configuration file.
# To really apply changes, reload proftpd after modifications, if
# it runs in daemon mode. It is not required in inetd/xinetd mode.
#

# Includes DSO modules
Include /etc/proftpd/modules.conf

# Set off to disable IPv6 support which is annoying on IPv4 only boxes.
UseIPv6 on
# If set on you can experience a longer connection delay in many cases.
IdentLookups on

ServerName "CONNIX 1"
ServerType standalone
DeferWelcome off

MultilineRFC2228 on
DefaultServer on
ShowSymlinks on

TimeoutNoTransfer 600
TimeoutStalled 600
TimeoutIdle 1200

DisplayLogin                    welcome.msg
DisplayChdir                .message true
ListOptions                "-l"

DenyFilter \*.*/

# Use this to jail all users in their homes
DefaultRoot ~

# Users require a valid shell listed in /etc/shells to login.
# Use this directive to release that constrain.
RequireValidShell off

# Port 21 is the standard FTP port.
Port 21

# In some cases you have to specify passive ports range to by-pass
# firewall limitations. Ephemeral ports can be used for that, but
# feel free to use a more narrow range.
# PassivePorts                  49152 65534
PassivePorts                  49152 49180

# If your host was NATted, this option is useful in order to
# allow passive tranfers to work. You have to use your public
# address and opening the passive ports used on your firewall as well.
MasqueradeAddress 52.1.73.157

# This is useful for masquerading address with dynamic IPs:
# refresh any configured MasqueradeAddress directives every 8 hours
<IfModule mod_dynmasq.c>
# DynMasqRefresh 28800
</IfModule>

# To prevent DoS attacks, set the maximum number of child processes
# to 30.  If you need to allow more than 30 concurrent connections
# at once, simply increase this value.  Note that this ONLY works
# in standalone mode, in inetd mode you should use an inetd server
# that allows you to limit maximum number of processes per service
# (such as xinetd)
MaxInstances 30

# Set the user and group that the server normally runs at.
User proftpd
Group nogroup

# Umask 022 is a good standard umask to prevent new files and dirs
# (second parm) from being group and world writable.
Umask 022  022
# Normally, we want files to be overwriteable.
AllowOverwrite on

# Uncomment this if you are using NIS or LDAP via NSS to retrieve passwords:
# PersistentPasswd off

# This is required to use both PAM-based authentication and local passwords
# AuthOrder mod_auth_pam.c* mod_auth_unix.c

# Be warned: use of this directive impacts CPU average load!
# Uncomment this if you like to see progress and transfer rate with ftpwho
# in downloads. That is not needed for uploads rates.
#
# UseSendFile off

TransferLog /var/log/proftpd/xferlog
SystemLog   /var/log/proftpd/proftpd.log

# Logging onto /var/log/lastlog is enabled but set to off by default
#UseLastlog on

# In order to keep log file dates consistent after chroot, use timezone info
# from /etc/localtime.  If this is not set, and proftpd is configured to
# chroot (e.g. DefaultRoot or <Anonymous>), it will use the non-daylight
# savings timezone regardless of whether DST is in effect.
#SetEnv TZ :/etc/localtime

<IfModule mod_quotatab.c>
QuotaEngine off
</IfModule>

<IfModule mod_ratio.c>
Ratios off
</IfModule>


# Delay engine reduces impact of the so-called Timing Attack described in
# http://www.securityfocus.com/bid/11430/discuss
# It is on by default.
<IfModule mod_delay.c>
DelayEngine on
</IfModule>

<IfModule mod_ctrls.c>
ControlsEngine        off
ControlsMaxClients    2
ControlsLog           /var/log/proftpd/controls.log
ControlsInterval      5
ControlsSocket        /var/run/proftpd/proftpd.sock
</IfModule>

<IfModule mod_ctrls_admin.c>
AdminControlsEngine off
</IfModule>

#
# Alternative authentication frameworks
#
#Include /etc/proftpd/ldap.conf
#Include /etc/proftpd/sql.conf

#
# This is used for FTPS connections
#
#Include /etc/proftpd/tls.conf

#
# Useful to keep VirtualHost/VirtualRoot directives separated
#
#Include /etc/proftpd/virtuals.conf

# A basic anonymous configuration, no upload directories.

# <Anonymous ~ftp>
#   User ftp
#   Group nogroup
#   # We want clients to be able to login with "anonymous" as well as "ftp"
#   UserAlias anonymous ftp
#   # Cosmetic changes, all files belongs to ftp user
#   DirFakeUser on ftp
#   DirFakeGroup on ftp
#
#   RequireValidShell off
#
#   # Limit the maximum number of anonymous logins
#   MaxClients 10
#
#   # We want 'welcome.msg' displayed at login, and '.message' displayed
#   # in each newly chdired directory.
#   DisplayLogin welcome.msg
#   DisplayChdir .message
#
#   # Limit WRITE everywhere in the anonymous chroot
#   <Directory *>
#     <Limit WRITE>
#       DenyAll
#     </Limit>
#   </Directory>
#
#   # Uncomment this if you're brave.
#   # <Directory incoming>
#   #   # Umask 022 is a good standard umask to prevent new files and dirs
#   #   # (second parm) from being group and world writable.
#   #   Umask 022  022
#   #            <Limit READ WRITE>
#   #            DenyAll
#   #            </Limit>
#   #            <Limit STOR>
#   #            AllowAll
#   #            </Limit>
#   # </Directory>
#
# </Anonymous>

# Include other custom configuration files
Include /etc/proftpd/conf.d/

cpaynes

#5
15 de Abril de 2016, 15:30
Os logs devem estar aqui:

CitarTransferLog /var/log/proftpd/xferlog
SystemLog   /var/log/proftpd/proftpd.log

Ou alguma coisa no:

Citar/var/log/messasges
/var/log/syslog

Essa instância EC2, possui 512Mb de ram? Não estaria ficando sem ram por um acaso?
Isso ocasionaria um kill do processo.

emanueltavares

#6
15 de Abril de 2016, 16:30
Creio que me expressei mal.
Não sou um especialista em infra, mas conheço os logs e não encontro nada que justifique.
O que eu estou vendo é uma série de tentativas frustradas de entrar no servidor, que você pode ver nesse trecho do proftpd.log:

Código Selecionar
016-04-14 14:00:11,253 ip-172-30-2-151 proftpd[8622] ip-172-30-2-151.ec2.internal (host1.webinformativomarketing.com[95.110.236.43]): FTP session opened.
2016-04-14 14:00:11,357 ip-172-30-2-151 proftpd[8621] ip-172-30-2-151.ec2.internal (host1.webinformativomarketing.com[95.110.236.43]): FTP session closed.
2016-04-14 14:00:11,466 ip-172-30-2-151 proftpd[8622] ip-172-30-2-151.ec2.internal (host1.webinformativomarketing.com[95.110.236.43]): USER conhecen: no such user found from host1.webinformativomarketing.com [95.110.236.43] to ::ffff:172.30.2.151:21
2016-04-14 14:00:11,968 ip-172-30-2-151 proftpd[8623] ip-172-30-2-151.ec2.internal (host1.webinformativomarketing.com[95.110.236.43]): FTP session opened.
2016-04-14 14:00:12,075 ip-172-30-2-151 proftpd[8622] ip-172-30-2-151.ec2.internal (host1.webinformativomarketing.com[95.110.236.43]): FTP session closed.
2016-04-14 14:00:12,191 ip-172-30-2-151 proftpd[8623] ip-172-30-2-151.ec2.internal (host1.webinformativomarketing.com[95.110.236.43]): USER conhecen: no such user found from host1.webinformativomarketing.com [95.110.236.43] to ::ffff:172.30.2.151:21
2016-04-14 14:00:12,541 ip-172-30-2-151 proftpd[8624] ip-172-30-2-151.ec2.internal (host1.webinformativomarketing.com[95.110.236.43]): FTP session opened.
2016-04-14 14:00:12,653 ip-172-30-2-151 proftpd[8623] ip-172-30-2-151.ec2.internal (host1.webinformativomarketing.com[95.110.236.43]): FTP session closed.
2016-04-14 14:00:12,753 ip-172-30-2-151 proftpd[8624] ip-172-30-2-151.ec2.internal (host1.webinformativomarketing.com[95.110.236.43]): USER conhecen: no such user found from host1.webinformativomarketing.com [95.110.236.43] to ::ffff:172.30.2.151:21
2016-04-14 14:00:13,134 ip-172-30-2-151 proftpd[8625] ip-172-30-2-151.ec2.internal (host1.webinformativomarketing.com[95.110.236.43]): FTP session opened.
2016-04-14 14:00:13,239 ip-172-30-2-151 proftpd[8624] ip-172-30-2-151.ec2.internal (host1.webinformativomarketing.com[95.110.236.43]): FTP session closed.
2016-04-14 14:00:13,356 ip-172-30-2-151 proftpd[8625] ip-172-30-2-151.ec2.internal (host1.webinformativomarketing.com[95.110.236.43]): USER conhecen: no such user found from host1.webinformativomarketing.com [95.110.236.43] to ::ffff:172.30.2.151:21
2016-04-14 14:00:13,713 ip-172-30-2-151 proftpd[8626] ip-172-30-2-151.ec2.internal (host1.webinformativomarketing.com[95.110.236.43]): FTP session opened.
2016-04-14 14:00:13,824 ip-172-30-2-151 proftpd[8625] ip-172-30-2-151.ec2.internal (host1.webinformativomarketing.com[95.110.236.43]): FTP session closed.
2016-04-14 14:00:13,926 ip-172-30-2-151 proftpd[8626] ip-172-30-2-151.ec2.internal (host1.webinformativomarketing.com[95.110.236.43]): USER conhecen: no such user found from host1.webinformativomarketing.com [95.110.236.43] to ::ffff:172.30.2.151:21
2016-04-14 14:00:14,298 ip-172-30-2-151 proftpd[8627] ip-172-30-2-151.ec2.internal (host1.webinformativomarketing.com[95.110.236.43]): FTP session opened.
2016-04-14 14:00:14,404 ip-172-30-2-151 proftpd[8626] ip-172-30-2-151.ec2.internal (host1.webinformativomarketing.com[95.110.236.43]): FTP session closed.
2016-04-14 14:00:14,521 ip-172-30-2-151 proftpd[8627] ip-172-30-2-151.ec2.internal (host1.webinformativomarketing.com[95.110.236.43]): USER conhecen: no such user found from host1.webinformativomarketing.com [95.110.236.43] to ::ffff:172.30.2.151:21
2016-04-14 14:00:14,874 ip-172-30-2-151 proftpd[8628] ip-172-30-2-151.ec2.internal (host1.webinformativomarketing.com[95.110.236.43]): FTP session opened.
2016-04-14 14:00:14,984 ip-172-30-2-151 proftpd[8627] ip-172-30-2-151.ec2.internal (host1.webinformativomarketing.com[95.110.236.43]): FTP session closed.
2016-04-14 14:00:15,082 ip-172-30-2-151 proftpd[8628] ip-172-30-2-151.ec2.internal (host1.webinformativomarketing.com[95.110.236.43]): USER conhecen: no such user found from host1.webinformativomarketing.com [95.110.236.43] to ::ffff:172.30.2.151:21
2016-04-14 14:00:15,516 ip-172-30-2-151 proftpd[8629] ip-172-30-2-151.ec2.internal (host1.webinformativomarketing.com[95.110.236.43]): FTP session opened.
2016-04-14 14:00:15,620 ip-172-30-2-151 proftpd[8628] ip-172-30-2-151.ec2.internal (host1.webinformativomarketing.com[95.110.236.43]): FTP session closed.
2016-04-14 14:00:15,739 ip-172-30-2-151 proftpd[8629] ip-172-30-2-151.ec2.internal (host1.webinformativomarketing.com[95.110.236.43]): USER conhecen: no such user found from host1.webinformativomarketing.com [95.110.236.43] to ::ffff:172.30.2.151:21


Há muitas! Isso pode fazer o servidor cair?

Quanto a memória, não, é um servidor produção.

zekkerj

#7
15 de Abril de 2016, 20:31
Essas tentativas de conexão estão vindo de você?
Que arquivo foi esse que vc postou?
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

emanueltavares

#8
16 de Abril de 2016, 08:49
Não são tentativas minhas. O usuário o cara está chutando.
Como comentei, é o proftpd.log.

zekkerj

#9
16 de Abril de 2016, 12:12
Tá tudo indicando que vc está sob ataque... hora de questionar: vc precisa mesmo oferecer o serviço ftp? não dá pra trabalhar com outros serviços, como HTTP ou HTTPS?
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

emanueltavares

#10
16 de Abril de 2016, 16:57
Não tem jeito e o meu servidor está sob ataque a vida inteira. Hoje não está tão popular e estamos redesenvolvendo, mas é o site JornalExpress - www.jex.com.br, onde qualquer pessoa pode criar um jornal online.
Um outro cliente, o maior portal de estruturas metálicas do país - www.metalica.com.br, que também tem uma visitação expressiva, está com o mesmo problema no servidor dele na AWS.
Por outro lado, o site está completando 16 anos e nunca tivemos esse tipo de problema antes. Sempre tivemos FTP na máquina.
Usamos o FTP apenas para subir programas, mas é imprescindível.
Para mim parece um problema qualquer de configuração. Posso até imaginar que algo o derruba por segurança, sei lá, mas está estranho.

[]'s


Emanuel

zekkerj

#11
16 de Abril de 2016, 17:06
Mude a porta do serviço FTP, ou crie um serviço HTTP/HTTPS pra fazer o upload de seus programas.
Outra alternativa muito interessante é enviar arquivos via scp/ssh/sshfs (desde que faça isso sem usar as portas padrão, que são muito visadas por ataque).
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

emanueltavares

#12
16 de Abril de 2016, 17:08
Conheço todas elas, mas isso não explica o porquê de durante 15 anos o serviço funcionar e agora parar.
No servidor do Metálica, por exemplo, isso não seria possível, pois há um editor que possui acesso e é leigo.
Não tem nada errado no proftpd.conf?

zekkerj

#13
16 de Abril de 2016, 17:10
Você pode atravessar a rua fora da faixa durante 40 anos sem acontecer nada, e ser atropelado no próximo aniversário. Te descobriram, descobriram um serviço explorável, e estão explorando... e vão continuar explorando enquanto você oferecer o serviço, até que uma coisa aconteça: ou você esconde esse serviço em outra porta, ou você o protege contra tentativas seguidas de conexão (informe-se sobre "fail2ban"), ou deixa de usar FTP. A escolha é sua, o bônus (ou o ônus) também.
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

emanueltavares

#14
16 de Abril de 2016, 17:12
Desculpe, mas não ajudou.
Obrigado.
Imprimir
Ir para o topo Páginas1 2 3
Ações