Eu tenho um computador com Windows 7 executando o servidor FileZilla. Eu estava lendo meus registros há algum tempo e anotei um excerto estranho que não entendo.
199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)> 220 PlayNice in the SandBox
(000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)> USER anonymous
(000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)> 331 Password required for anonymous
(000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)> PASS **********
(000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)> 530 Login or password incorrect!
(000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)> help
(000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)> 214-The following commands are recognized:
(000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)> ABOR ADAT ALLO APPE AUTH CDUP CLNT CWD
(000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)> DELE EPRT EPSV FEAT HASH HELP LIST MDTM
(000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)> MFMT MKD MLSD MLST MODE NLST NOOP NOP
(000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)> OPTS P@SW PASS PASV PBSZ PORT PROT PWD
(000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)> QUIT REST RETR RMD RNFR RNTO SITE SIZE
(000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)> STOR STRU SYST TYPE USER XCUP XCWD XMKD
(000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)> XPWD XRMD
(000199)10/28/2014 23:07:57 PM - (not logged in) (66.240.192.138)> 214 Have a nice day.
Sem fazer login, alguém conseguiu obter uma lista de comandos disponíveis?
Isso é normal?
Eu deveria estar preocupado?
Isso é evitável?
Além de proibir toda a sub-rede, o que devo fazer?
Sim, isso é perfeitamente normal. protocolo não força a autenticação em primeiro lugar. até autenticação anônima não é necessária. Na verdade, a maioria dos servidores ftp é apenas para servir arquivos. você não deve considerar isso como uma falha de segurança. Você pode tentar isso com qualquer servidor FTP lá fora. Eu não acho que seja evitável.
Existem comandos que você precisa usar antes de autenticar e talvez seja necessário obter ajuda com eles.
Obviamente, o USER , PASS e AUTH (para TLS).
Mas, por exemplo, também HOST ( RFC 7151 ). Que FileZilla Server não suporta embora.
Mesmo se você usar o cliente de GUI FTP, para que você não se preocupe com a ajuda, o cliente pode precisar saber quais comandos o servidor suporta. Isso é particularmente verdadeiro para o comando HOST . Quando o servidor suporta HOST , o cliente precisa enviar esse comando antes de USER .
Observe que o cliente de FTP da GUI usaria FEAT , não HELP , mas as consequências são as mesmas.
Pode ser possível que o servidor opte por não listar comandos em HELP ou FEAT response, que não são permitidos sem autenticação, antes de você realmente autenticar. Mas a especificação FEAT , RFC 2389 , não indica essa possibilidade. Assim, tal implementação do servidor pode quebrar alguns clientes (que usam FEAT antes da autenticação, esperando um conjunto completo de comandos / recursos).