Eu desinstalei o vsftpd, mas ainda consigo me conectar com o sftp

4

Eu instalei o vsftpd e estava no processo de configurá-lo. Quando enviei o comando vsftpd server stop:

sudo service vsftpd stop

Eu recebi:

stop: Unknown instance

Então eu fui em frente e desinstalei e reiniciei o sistema

sudo apt-get remove --purge vsftpd

quando eu paro o vsftpd agora ele diz:

vsftpd: unrecognized service

Se eu tentar 'desinstalar' o vsftpd, ele diz:

Package vsftpd is not installed, so not removed

Problema: mas ainda consigo me conectar ao meu servidor usando o cliente FTP

Eu não posso de alguma forma acreditar que há um zumbi? processo que não está sendo morto, mesmo após a reinicialização. Alguém pode por favor lançar luz sobre isso?

Configuração do sistema: Ubuntu 12.04.1 Server LTS como convidado VM no Windows 7 Host VM

TCP dump, conforme solicitado: Comando: sudo tcpdump port 22 >tcpdump.log Ação tomada: Usado WinSCP para SFTP no servidor do sistema operacional convidado

tcpdumplog:

17:00:42.745423 IP Brown.home.54199 > ubuntu-12.home.ssh: Flags [P.], seq 4076673955:4076673991, ack 3552872727, win 17520, length 36
17:00:42.745442 IP Brown.home.54199 > ubuntu-12.home.ssh: Flags [F.], seq 36, ack 1, win 17520, length 0
17:00:42.746192 IP ubuntu-12.home.ssh > Brown.home.54199: Flags [F.], seq 1, ack 37, win 16616, length 0
17:00:42.746406 IP Brown.home.54199 > ubuntu-12.home.ssh: Flags [.], ack 2, win 17520, length 0
17:00:50.181085 IP Brown.home.54223 > ubuntu-12.home.ssh: Flags [S], seq 8389211, win 8192, options [mss 1460,nop,nop,sackOK], length 0
17:00:50.181112 IP ubuntu-12.home.ssh > Brown.home.54223: Flags [S.], seq 1127786298, ack 8389212, win 14600, options [mss 1460,nop,nop,sackOK], length 0
17:00:50.181262 IP Brown.home.54223 > ubuntu-12.home.ssh: Flags [.], ack 1, win 17520, length 0
17:00:50.186862 IP ubuntu-12.home.ssh > Brown.home.54223: Flags [P.], seq 1:40, ack 1, win 14600, length 39
17:00:50.187152 IP Brown.home.54223 > ubuntu-12.home.ssh: Flags [P.], seq 1:31, ack 40, win 17481, length 30
17:00:50.187282 IP ubuntu-12.home.ssh > Brown.home.54223: Flags [.], ack 31, win 14600, length 0
17:00:50.187476 IP Brown.home.54223 > ubuntu-12.home.ssh: Flags [P.], seq 31:639, ack 40, win 17481, length 608
17:00:50.187485 IP ubuntu-12.home.ssh > Brown.home.54223: Flags [.], ack 639, win 15808, length 0
17:00:50.188653 IP ubuntu-12.home.ssh > Brown.home.54223: Flags [P.], seq 40:1024, ack 639, win 15808, length 984
17:00:50.188900 IP Brown.home.54223 > ubuntu-12.home.ssh: Flags [P.], seq 639:655, ack 1024, win 16497, length 16
17:00:50.190537 IP ubuntu-12.home.ssh > Brown.home.54223: Flags [P.], seq 1024:1304, ack 655, win 15808, length 280
17:00:50.240004 IP Brown.home.54223 > ubuntu-12.home.ssh: Flags [P.], seq 655:927, ack 1304, win 16217, length 272
17:00:50.254190 IP ubuntu-12.home.ssh > Brown.home.54223: Flags [P.], seq 1304:2152, ack 927, win 17024, length 848
17:00:50.312380 IP Brown.home.54223 > ubuntu-12.home.ssh: Flags [P.], seq 927:943, ack 2152, win 17520, length 16
17:00:50.351847 IP ubuntu-12.home.ssh > Brown.home.54223: Flags [.], ack 943, win 17024, length 0
17:00:50.352298 IP Brown.home.54223 > ubuntu-12.home.ssh: Flags [P.], seq 943:995, ack 2152, win 17520, length 52
17:00:50.352316 IP ubuntu-12.home.ssh > Brown.home.54223: Flags [.], ack 995, win 17024, length 0
17:00:50.352579 IP ubuntu-12.home.ssh > Brown.home.54223: Flags [P.], seq 2152:2204, ack 995, win 17024, length 52
17:00:50.361499 IP Brown.home.54223 > ubuntu-12.home.ssh: Flags [P.], seq 995:1063, ack 2204, win 17468, length 68
17:00:50.388593 IP ubuntu-12.home.ssh > Brown.home.54223: Flags [P.], seq 2204:2272, ack 1063, win 17024, length 68
17:00:50.590761 IP Brown.home.54223 > ubuntu-12.home.ssh: Flags [.], ack 2272, win 17400, length 0
17:00:52.960712 IP Brown.home.54223 > ubuntu-12.home.ssh: Flags [P.], seq 1063:1147, ack 2272, win 17400, length 84
17:00:52.999659 IP ubuntu-12.home.ssh > Brown.home.54223: Flags [.], ack 1147, win 17024, length 0
17:00:53.037972 IP ubuntu-12.home.ssh > Brown.home.54223: Flags [P.], seq 2272:2308, ack 1147, win 17024, length 36
17:00:53.038482 IP Brown.home.54223 > ubuntu-12.home.ssh: Flags [P.], seq 1147:1215, ack 2308, win 17364, length 68
17:00:53.038510 IP ubuntu-12.home.ssh > Brown.home.54223: Flags [.], ack 1215, win 17024, length 0
17:00:53.271416 IP ubuntu-12.home.ssh > Brown.home.54223: Flags [P.], seq 2308:2360, ack 1215, win 17024, length 52
17:00:53.271628 IP Brown.home.54223 > ubuntu-12.home.ssh: Flags [P.], seq 1215:1299, ack 2360, win 17312, length 84
17:00:53.271661 IP ubuntu-12.home.ssh > Brown.home.54223: Flags [.], ack 1299, win 17024, length 0
17:00:53.271864 IP Brown.home.54223 > ubuntu-12.home.ssh: Flags [P.], seq 1299:1367, ack 2360, win 17312, length 68
17:00:53.271872 IP ubuntu-12.home.ssh > Brown.home.54223: Flags [.], ack 1367, win 17024, length 0
17:00:53.272369 IP ubuntu-12.home.ssh > Brown.home.54223: Flags [P.], seq 2360:2448, ack 1367, win 17024, length 88
17:00:53.275151 IP Brown.home.54223 > ubuntu-12.home.ssh: Flags [P.], seq 1367:1419, ack 2448, win 17224, length 52
17:00:53.275347 IP ubuntu-12.home.ssh > Brown.home.54223: Flags [P.], seq 2448:2628, ack 1419, win 17024, length 180
17:00:53.279576 IP Brown.home.54223 > ubuntu-12.home.ssh: Flags [P.], seq 1419:1471, ack 2628, win 17044, length 52
17:00:53.279717 IP ubuntu-12.home.ssh > Brown.home.54223: Flags [P.], seq 2628:2728, ack 1471, win 17024, length 100
17:00:53.280194 IP Brown.home.54223 > ubuntu-12.home.ssh: Flags [P.], seq 1471:1539, ack 2728, win 16944, length 68
17:00:53.280339 IP ubuntu-12.home.ssh > Brown.home.54223: Flags [P.], seq 2728:2796, ack 1539, win 17024, length 68
17:00:53.280546 IP Brown.home.54223 > ubuntu-12.home.ssh: Flags [P.], seq 1539:1607, ack 2796, win 16876, length 68
17:00:53.280869 IP ubuntu-12.home.ssh > Brown.home.54223: Flags [P.], seq 2796:3504, ack 1607, win 17024, length 708
17:00:53.281105 IP Brown.home.54223 > ubuntu-12.home.ssh: Flags [P.], seq 1607:1675, ack 3504, win 16168, length 68
17:00:53.281218 IP ubuntu-12.home.ssh > Brown.home.54223: Flags [P.], seq 3504:3588, ack 1675, win 17024, length 84
17:00:53.281416 IP Brown.home.54223 > ubuntu-12.home.ssh: Flags [P.], seq 1675:1743, ack 3588, win 16084, length 68
17:00:53.281543 IP ubuntu-12.home.ssh > Brown.home.54223: Flags [P.], seq 3588:3656, ack 1743, win 17024, length 68
17:00:53.480952 IP Brown.home.54223 > ubuntu-12.home.ssh: Flags [.], ack 3656, win 17520, length 0
17:00:56.881662 IP Brown.home.54223 > ubuntu-12.home.ssh: Flags [P.], seq 1743:1779, ack 3656, win 17520, length 36
17:00:56.881688 IP Brown.home.54223 > ubuntu-12.home.ssh: Flags [F.], seq 1779, ack 3656, win 17520, length 0
17:00:56.881908 IP ubuntu-12.home.ssh > Brown.home.54223: Flags [F.], seq 3656, ack 1780, win 17024, length 0
17:00:56.882061 IP Brown.home.54223 > ubuntu-12.home.ssh: Flags [.], ack 3657, win 17520, length 0

Por favor, deixe-me saber no caso de você precisar de alguma informação adicional

    
por Vikram 03.10.2012 / 18:13

4 respostas

11

SFTP não é FTP. É o sftp subsistema de ssh , é tratado pelo daemon sshd , não vsftpd ou qualquer servidor FTP. Ele está na porta ssh TCP (22), não na porta FTP 21 (os comandos FTP estão em 21 , enquanto as conexões de dados estão em portas arbitrárias e as várias conexões no FTP são uma das muitas razões pelas quais SFTP é muito melhor que o FTP).

ss -lp sport = :22

ou

ss -lp sport = :ssh

mostraria a você que sshd está manipulando as conexões.

Se você deseja desabilitar SFTP , mas retém ssh access (embora isso faça pouco sentido, a menos que os usuários acessem um shell restrito nessa máquina), é necessário desabilitar sftp in sshd_config comentando a linha Subsystem sftp... .

    
por 03.10.2012 / 23:31
2

Parece provável que o vsftpd instalado não tenha sido parte de um pacote.

Você pode identificar qual processo está lidando com conexões ftp com (como root):

ss -pl sport = :ftp

Se ele diz inetd ou xinetd , você precisa dar uma olhada na configuração deles para ver qual comando é realmente executado para eles.

Se isso não acontecer, então, dado o processo 'pid ( $pid ), faça um

dpkg -S "$(readlink -f "/proc/$pid/exe")"

Isso deve identificar qual pacote, se algum dos comandos fizer parte. Se não houver um pacote, talvez seja necessário descobrir como o software foi instalado, pois provavelmente viria com instruções sobre como removê-lo.

(observe que um processo zombie no Unix refere-se a algo bem diferente).

    
por 03.10.2012 / 19:05
1

Não é um zumbi. O script de desinstalação mais provável não conseguiu pará-lo também, mas apagou todos os arquivos e informações no pacote. Para recuperar-se da situação sem reinicializar, tente o seguinte:

ps -A|grep vsftp

Você verá uma linha com seu PID.

Então, como root, use o comando

kill -KILL PID

Espero que você se livre desse zumbi

    
por 03.10.2012 / 18:58
1

De seus outros comentários, não parece que você tenha um servidor FTP em execução. Uma possibilidade é que haja um firewall, seja na sua máquina ou em outro lugar, que esteja redirecionando a porta FTP para outro host ou que esteja sendo interceptado pelo software de virtualização. Ou você está enganado e simplesmente não está se conectando à máquina à qual acha que está se conectando. Fornecer a saída do seu cliente FTP pode ajudar a esclarecer. Ainda melhor podem ser os logs TCP do servidor, por ex. a saída de tcpdump 'port 21' .

Outra possibilidade, embora muito improvável, é que você tenha um rootkit que esteja ocultando a presença do processo do servidor.

    
por 03.10.2012 / 19:53

Tags