Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 20 replies
  • Subscribers 25 subscribers
  • Views 12605 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Backdoor in Astaro UTM V9?

tomsmith_01
Hallo,

Port 21 ist offen für alle Zugriffe, obwohl kein FTP Proxy oder NAT Regel aktiv ist. Macht man einen Scan z.B.: nmap, bekommt man zurück der Port 21 ist filtered, soweit ok, sobald man aber einen telnet von ausserhalb auf Port 21 absetzt, bekommt man dies:

Escape character is '^]'.

[:$] very secure astaro

Ist es ein Backdoor? Was meint ihr? Welche Ports sind noch offen, welche wir noch nicht kennen? Das Vertrauen ist nun mal weg.

Danke für ihr Feedback.

Gruss, Tom

PS.: habe eine fw rule eingerichtet, from any (FTP) to WAN adress, dann nochmals von extern telnet ip 21 und:
Escape character is '^]'.
[:@]


This thread was automatically locked due to age.
  • 0 in reply to twister5800
    Okay...das ist ja garnicht gut! hast du SHELL ACCESS öffen?


    Ja, es ist aber für SSH (Port 22) und nur für interne Geräte.
  • 0
    Ok - Ich glaube support ist das richtige weg von hier - vielen gluck :-)

    -----

    Best regards
    Martin

    Sophos XGS 2100 @ Home | Sophos v19 Architect

  • 0
    ich habe hierzu auch mal zwei meiner UTMs getestet, bei keiner ist der Port 21 offen. Weder extern noch intern. Was ist denn vor Deiner UTM? Vieleicht hat dieser den Port 21 offen?
  • 0
    Wie sieht dein Netzaufbau aus?
  • 0
    Was heißt hier backdoor - das nennt sich Wartungszugang [:D]

    So primitiv wird niemand ein Backdoor einbauen. Eher bedenklich ist, daß Astaro sich an die Sophos verkauft hat. Eine englisches Unternehmen. Nach Snowden ist die Frage, inwiefern eine Sophos UTM keinen NSA/etc-"Fernzugang" hat.
  • 0
    Sorry, kann das bei mir nicht nachvollziehen. Ein Telnet auf Port 21 von außen bekommt bei mir wie erwartet einen Timeout.
    In der Firewall greift laut Log die Default Drop Regel.

    Da ist bei deinem Setup irgenwas komisch...

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0
    Hast Du schon mal mit netstat nach einem listener und mit iptables auf eine Regel auf Port 21 geprüft? 






    Früher sorgte Paranoia [,wenigstens noch] für interessante Geschichten, heute ist sie der Grund für .*weigerung.
  • 0 in reply to K.N.
    i am able to Telnet to various ports reported as being open from outside 
    when infact there are no NAT rules or Firewall rules that would open these ports.


    Discovered open port 18080/tcp on my external interface
    Discovered open port 5432/tcp on  my external interface
    Discovered open port 9865/tcp on  my external interface
    Discovered open port 9009/tcp on  my external interface
    Discovered open port 3840/tcp on  my external interface
    Discovered open port 4472/tcp on   my external interface

    i can telnet to each of these ports
    Trying nnn.nnn.nnn.nn..3840
    Connected to nnn.nnn.nnn.nn
    Escape character is '^]'.


    i was able to see the following banners on some of the ports


    Generated by tinyproxy version 1.8.1.



     


    501 Not Implemented

    Not Implemented


     to / not supported.


    When i sniff the packets using TCPdump on the external interface i can see that it is the firewall only that is acknowledging the Telnet connection ie it doesnt DNAT or pass the packet on. 

    16:55:18.900430 IP nnn.nnn.nnn.nn.55402 > nnn.nnn.nnn.nn.4472: Flags [F.], seq 20, ack 2, win 46, options [nop,nop,TS val 1354537809 ecr 174469309], length 0

    if anyone can shine some light on this would be greatly appreciated

  • 0
    Hi Netaxiz, you are posting in the German Forum; try posting in the General Discussion forum, and include your UTM version # and services enabled.

    Barry
  • 0
    Hallo Netaxis

    Also zumindest der Port 3840 ist ein standard UTM Port -  der wird für den Spam Release benutzt. Wenn Du den Spam Release via Internet nutzen willst, muss der offen sein (default), ansonsten konfiguriere das bei der Quarantäne Mail Konfiguration um ;o)

    Gruss Sascha
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?