Der FileZilla FTP-Server bietet bereits vor der Authentifizierung des Benutzers eine Hilfe zu Befehlen

916
j0h

Ich habe einen Windows 7-Computer, auf dem der FileZilla-Server ausgeführt wird. Ich habe vor einiger Zeit meine Protokolle gelesen und habe einen merkwürdigen Auszug bemerkt, den ich nicht verstehe.

199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)> 220 PlayNice in the SandBox (000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)> USER anonymous (000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)> 331 Password required for anonymous (000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)> PASS ********** (000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)> 530 Login or password incorrect! (000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)> help (000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)> 214-The following commands are recognized: (000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)> ABOR ADAT ALLO APPE AUTH CDUP CLNT CWD  (000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)> DELE EPRT EPSV FEAT HASH HELP LIST MDTM (000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)> MFMT MKD MLSD MLST MODE NLST NOOP NOP  (000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)> OPTS P@SW PASS PASV PBSZ PORT PROT PWD  (000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)> QUIT REST RETR RMD RNFR RNTO SITE SIZE (000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)> STOR STRU SYST TYPE USER XCUP XCWD XMKD (000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)> XPWD XRMD (000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)> 214 Have a nice day.

Ohne sich anzumelden, konnte jemand eine Liste der verfügbaren Befehle abrufen.

Ist das normal?
Sollte ich besorgt sein
Ist das vermeidbar?

Was soll ich tun, außer das gesamte Subnetz zu verbieten?

0
Beachten Sie, dass die Befehle "USER" und "PASS" in dieser Hilfe aufgeführt sind. Ƭᴇcʜιᴇ007 vor 9 Jahren 2

2 Antworten auf die Frage

3
risyasin

Ja das ist völlig normal. Protokoll erzwingt keine Authentifizierung an erster Stelle. Selbst anonyme Authentifizierung ist nicht erforderlich. Tatsächlich dienen die meisten FTP-Server nur zum Bereitstellen von Dateien. Sie sollten das nicht als Sicherheitsmangel betrachten. Sie können das mit jedem FTP-Server da draußen versuchen. Ich denke nicht, dass es vermeidbar ist.

0
Martin Prikryl

Es gibt einige Befehle, die Sie vor der Authentifizierung verwenden müssen, und Sie müssen möglicherweise Hilfe benötigen.

Offensichtlich das USER, PASSund AUTH(für TLS).

Aber zum Beispiel auch HOST( RFC 7151 ). Welcher FileZilla Server unterstützt das nicht?

Selbst wenn Sie einen GUI-FTP-Client verwenden, damit Sie sich nicht um Hilfe kümmern, muss der Client möglicherweise wissen, welche Befehle der Server unterstützt. Dies gilt insbesondere für den HOSTBefehl. Wenn der Server dies unterstützt HOST, muss der Client diesen Befehl zuvor senden USER.

Beachten Sie, dass der GUI-FTP-Client dies FEATnicht verwenden würde HELP, die Konsequenzen sind jedoch gleich.

Es kann möglich sein, dass der Server keine Befehle HELPoder FEATAntworten auflistet, die ohne Authentifizierung nicht zulässig sind, bevor Sie sich tatsächlich authentifizieren. In der FEATSpezifikation RFC 2389 wird diese Möglichkeit jedoch nicht angegeben. Bei einer solchen Serverimplementierung können daher einige Clients beschädigt werden (die FEATvor der Authentifizierung verwendet werden und einen vollständigen Satz von Befehlen / Funktionen erwarten).

Verwandte Probleme