ftp Angriff

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
E

element

Neuer User
Mitglied seit
4 Jul 2008
Beiträge
41
Punkte für Reaktionen
0
Punkte
0
kann mir bitte jemand sagen was ich gegen sowas machen kann?
Code: 
Feb  9 21:03:26 fritz ftp.warn vsftpd[25039]: [Administrator] FAIL LOGIN: Client "196.15.143.106"
Feb  9 21:03:42 fritz ftp.warn vsftpd[25039]: [Administrator] FAIL LOGIN: Client "196.15.143.106"
Feb  9 21:03:58 fritz ftp.warn vsftpd[25039]: [Administrator] FAIL LOGIN: Client "196.15.143.106"
Feb  9 21:04:15 fritz ftp.warn vsftpd[25047]: [Administrator] FAIL LOGIN: Client "196.15.143.106"
Feb  9 21:04:31 fritz ftp.warn vsftpd[25049]: [Administrator] FAIL LOGIN: Client "196.15.143.106"
Feb  9 21:04:48 fritz ftp.warn vsftpd[25055]: [Administrator] FAIL LOGIN: Client "196.15.143.106"
Feb  9 21:05:06 fritz ftp.warn vsftpd[25059]: [Administrator] FAIL LOGIN: Client "196.15.143.106"
Feb  9 21:05:22 fritz ftp.warn vsftpd[25059]: [Administrator] FAIL LOGIN: Client "196.15.143.106"
Feb  9 21:05:38 fritz ftp.warn vsftpd[25059]: [Administrator] FAIL LOGIN: Client "196.15.143.106"
Feb  9 21:05:55 fritz ftp.warn vsftpd[25065]: [Administrator] FAIL LOGIN: Client "196.15.143.106"
Feb  9 21:06:13 fritz ftp.warn vsftpd[25069]: [Administrator] FAIL LOGIN: Client "196.15.143.106"
Feb  9 21:06:29 fritz ftp.warn vsftpd[25069]: [Administrator] FAIL LOGIN: Client "196.15.143.106"
Feb  9 21:06:44 fritz ftp.warn vsftpd[25069]: [Administrator] FAIL LOGIN: Client "196.15.143.106"
Feb  9 21:07:01 fritz ftp.warn vsftpd[25075]: [Administrator] FAIL LOGIN: Client "196.15.143.106"
Feb  9 21:07:21 fritz ftp.warn vsftpd[25079]: [Administrator] FAIL LOGIN: Client "196.15.143.106"
Feb  9 21:07:39 fritz ftp.warn vsftpd[25083]: [Administrator] FAIL LOGIN: Client "196.15.143.106"
Feb  9 21:07:56 fritz ftp.warn vsftpd[25087]: [Administrator] FAIL LOGIN: Client "196.15.143.106"
Feb  9 21:08:13 fritz ftp.warn vsftpd[25091]: [Administrator] FAIL LOGIN: Client "196.15.143.106"
Feb  9 21:08:30 fritz ftp.warn vsftpd[25093]: [Administrator] FAIL LOGIN: Client "196.15.143.106"
Feb  9 21:08:47 fritz ftp.warn vsftpd[25101]: [Administrator] FAIL LOGIN: Client "196.15.143.106"
Feb  9 21:09:04 fritz ftp.warn vsftpd[25103]: [Administrator] FAIL LOGIN: Client "196.15.143.106"
Feb  9 21:09:21 fritz ftp.warn vsftpd[25107]: [Administrator] FAIL LOGIN: Client "196.15.143.106"
Feb  9 21:09:38 fritz ftp.warn vsftpd[25111]: [Administrator] FAIL LOGIN: Client "196.15.143.106"
ich hab hier im Forum schon mal was ähnliches gesehen, kann es aber nicht finden. Evtl hat jemand den Thread noch parat.
Danke
 
Port verlegen in die highports irgendwo.
 
Danke
muss ich denn den alten port irgendwie sperren? In der AVM- Firewall find ich nichts wo er freigegeben ist
 
Du legst ja in vsftpd fest auf welchen Port es reagiert, daher musst du den alten Port auch nicht blockieren. In der AVM-Firewall setzt du dann logischerweise den neuen Port, falls du von aussen Zugriff darauf willst. Was 5stelliges würde ich als Port empfehlen. Der Angriff - wenn es denn wirklich einer war - kam übrigens aus Johannesburg (Südafrika) oder Umgebung.
 
Wenn du es richtig sperren willst, musst du iptables nehmen. AVM-Firewall sperrt es nicht richtig, es wird nur nicht weiter geroutet. Im Prinzip ist die Methode von AVM aber durchaus ausreichend. Schau dir bitte entweder in ar7.cfg direkt an, oder über AVM-Firewal-CGI, ob da irgendwo Port 21 "offen" ist. Wenn du es im vsftpd direkt verlegst, musst du es natürlich noch von draußen freigeben (wiederum ar7.cfg oder AVM-Firewall-CGI).
Was man dagen noch machen kann? Ich hatte dagegen eine Gegenattake gestartet. Nachdem ich dem Typen anstatt Benutzernamen und Passwort auf seinem FTP/SSH (was er auch immer da hat) diverse Textmeldungen hingeschickt hatte, auf deren Inhalt ich hier nicht näher eingehen will, hat dieser konkrete Typ zeitnah darauf seine Attaken eingestellt. Es hilft natürlich nicht wirklich, denn danach kommt der Nächste. Man kann aber wenigstens daran Spass und eine gewisse Siegesfreude erleben. Die Idee und Vermutung ist, dass derjenige entsprechende Logs hat und darein auch ab und zu schaut.

MfG
 
Danke für eure Hilfe - ich hab mir grad ne kleine Extrarunde was unnötige Arbeit angeht geleistet:
Ich habe port 21 gelöscht - das hat mir die Box übel genommen und aus purer Bosheit alle Einstellungen zumindest was die AVM Seite angeht gelöscht. Freetz- seitig scheint alles OK zu sein. Ich hab jetzt erstmal das Telefon wieder eingerichtet und dann die Einwahldaten von meinem Provider gesucht und eingegeben. Leider hab ich Anfang des Jahres meinen PC neu eingerichtet und hatte keine Sicherung mehr - naja man lernt nie aus. Ich schau jetzt mal in Ruhe weiter, meld mich dann
@ Nimrod
wie bekommt man raus woher die IP ist?
 
Tante Google fragen:
IP Location:
za.gif
South Africa Telkom Sa Ltd.soekor Building151 Frans Conradie Aveparowwestern Cape IP Address: 196.15.143.106
 
@element: Versuch doch bitte auch Nachbarthreads mitzulesen. Es hilft manchmal enorm. Aus dem AVM-Firewall-CGI-Thread wärest du dadurch schlau gewesen, dass Firewall-CGI momentan Probleme mit Einstellungen verursacht.

MfG
 
Zuletzt bearbeitet:
@hermann72pb: Danke für den Tip, hab grad das 3. Mal meine Einstellungen eingegeben, nichtmal die Sicherung hat die Box akzeptiert, ich wollte grad mal schauen obs darüber im Forum was gibt. Nichtmal gesucht und schon was gefunden.
 
Wenn der Angreifer nur die IP errät und nicht den dyndns-Namen reicht auch ein DSL Reconnect um ihn loszuwerden. Ich hatte auch schon mal wo einen Ansatz gelesen da wollte jemand nach einer bestimmten Anzahl von Versuchen die IP sperren. Ich hab seit Jahren nicht einen Versuch bei mir gehabt und selbst auf einem vServer hat nur einmal jemand es versucht und der hatte sich auch nur bei der IP seines eigenen Servers vertippt und ist bei mir gelandet.
 
@Nimrod: Die dynamischen IPs aus dem DSL-Pool der Telekom, Telefonica und Co. sind bestens dafür bekannt, dass sie angegriffen werden. Portverlegung hilf in den meisten Fällen, wenn man es vernünftig macht.
IP filtern und nach N-mal-Fehllogversuche sperren lässt sich leider nur schwer auf der Box realisieren. Z.B. kann dropbear es nicht von Hause aus. Es gibt Ansätze mit IPTABLES sowas zu realisieren oder irgendwelche Proxies dafür zu "missbrauchen", ich habe aber bis jetzt keine funktionierende Lösung auf der Box hier in IPPF präsentiert bekommen gesehen.
Beim dropbear hatte ich seinerzeit an einigen wenigen Schrauben der Einstellungen geschraubt, um wenigstens die Anzahl der Fehlversuche und die Timeouts auf das Minimale zu reduzieren. Es hilft zwar nicht wirklich gegen die Angriffe, lässt jedoch wenigstens die Boxlast in Grenzen halten und erschwert dem Angreifer etwas das Leben.

MfG
 
Das meinte ich. Dafür gibts ja Skripte oder Programm die alle möglichen Kombinationen a la Bruteforce durchwürfeln. Bekommt man ne Ping hat man einen Treffer und ein potenzielles Opfer gefunden.
 
hermann72pb schrieb:
IP filtern und nach N-mal-Fehllogversuche sperren lässt sich leider nur schwer auf der Box realisieren.
Zum Vergrößern anklicken....

Fail2Ban kann das, aber ich bin kein Programmierer und kann somit nicht beurteilen, ob und wie man das einbauen kann.
Nutze ich für meinen Linux-Server. :)
 
Nun...das ding zeiht natürlich nen feinen Lämmerschwanz mit sich...von IPTables bis Python muss dann alles mit rein...
Iptables kann das aber soweit ich weiß auch ganz alleine...
Aber es wird keine bunti klicki Lösung befürchte ich...
 
Wenn man ein vernünftiges Paßwort hat, braucht ein potentielle Angreifer ewig, um das herauszufinden.

Bei der Box gibt es zusätzlich das Problem, daß die CPU übermäßig belastet wird und die Box evtl. die anderen Aufgaben nicht mehr erledigen kann oder neu startet.

Ein abweichender Port hilft da in den meisten Fällen.
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 842 (Mitglieder: 35, Gäste: 807)

Neueste Beiträge

Statistik des Forums

Themen
244,869
Beiträge
2,219,853
Mitglieder
371,589
Neuestes Mitglied
pcmodum
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück