Brute-Force-Attacke auf FTP-Server

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
eisbaerin

eisbaerin

IPPF-Urgestein
Mitglied seit
29 Sep 2009
Beiträge
11,377
Punkte für Reaktionen
1,064
Punkte
113
Hallo, liebes Forum !

Heute muß ich mich auch mal mit einer Frage an Euch wenden.

Ich habe gerade mal am Eingang der FB7170 die Daten mitgeschnitten.
Beim Anschauen fallen mir doch zufällig FTP Packete mit User und Passwort auf !
Ein Angriff auf meinen FTP-Server !!! Also gleich erst mal Port 21 zu gemacht.
Die IP-Adresse 109.123.80.155 kommt so wie ich gesucht habe aus London.

Jetzt meine Frage: Soll/muß man sowas Anzeigen, wenn ja wo ?

Ich bin ja froh, daß ich es noch gemerkt habe. Was mich aber wundert und stört:
Die FB zeigt 1. keine Ereignisse an (z.B. FTP-Login incorrect)
2. sie verzögert die erneute Eingabe nur minimal und sperrt sie auch nach 10000 mal nicht
3. den Benutzernamen kann man nicht wählen und das Passwort darf auch nur max. 8 Zeichen betragen. Da ist der Zugang ja binnen Stunden herrauszubekommen.
4. den Port 21 kann man ja auch nicht ändern.
5. den Bereich der zulässigen IP-Adressen kann man auch nicht einschränken.

Kann man da noch etwas machen um die Sicherheit zu erhöhen,
ich will aber bei der originalen Firmware bleiben.

Kommen solche Attacken öfters vor ? Hat das jemand auch schon mal beobachtet ?

Ich danke schon mal für die Antworten.

Ich habe mal einen Teil meines Mitschnittes angehängt. Ist keine .txt, nur .txt im Namen entfernen.
 

Anhänge

  • fritzcap_240210_160223-Attacke.cap.txt
    4.4 KB · Aufrufe: 49
Zuletzt bearbeitet:
Nein, mit .../support.html geht es nicht !

Ich habs mit Fritzcap.exe gemacht, oder sonst mit http://fritz.box/html/capture.html

und dann mit: Paketmitschnitt ohne DSL-Rahmen (Interface 0, Internet)
da meine FB über LAN1 am Modem hängt (MAXXonair).
 
Das würde ich als Brute-Force-Attack auf Deinen FTP-Server interpretieren. Wenn Du per Google nach dieser Adresse suchst, wirst Du fündig. Es gab wohl auch noch andere FTP-Angriffe.

Im Prinzip kannst Du damit eine Anzeige erstatten, aber da der Server in London ist, dürften die Aussichten auf Erfolg gering sein. Ich würde eher raten, den [email protected] Leuten Bescheid zu geben. Schicke den Trace, den Du hier gepostet hast, mit.

--gandalf.
 
Danke für Deine Antwort, ja ich war wohl nicht der einzige.

Wie kann ich das aber in Zukunft verhindern ?
Was und wie müßte ich in der Firewall einstellen ?
 
Wenn Du einen FTP-Server betreibst, würde ich diesen - wenn nicht erforderlich - nicht komplett öffentlich bereitstellen. Du kannst im Firewall ja einstellen, welche IP-Adressebereiche wirklich Zugriff auf den Server erhalten sollen. Weiterhin sollten FTP-Server und User darauf immer nicht-triviale Kombinationen von User/Passwort nutzen, um solche Dictionary-Attacks weitgehend zu blocken.

Generell rate ich jedoch von FTP als Protokoll ab. Es ist sicherer, einen https-Server mit entsprechendem Zugriff zu nutzen, bei dem für geschützte Inhalte per Client-Zertifikat gezielt einzelnen Nutzern der Zugriff auf Ressourcen freizugeben ist.

Das alles hängt jedoch davon ab, für welchen Zweck Du diesen FTP-Server betreibst.

--gandalf.
 
Ja, FTP-Server ist vielleicht übertrieben.
Ich habe an der 7170 einen USB-Stick stecken und den hatte ich fürs Internet frei gegeben.
Da sind einige Dateien drauf, auf die ich gerne von überall zugreifen will,
ohne immer den Stick mit mir rumtragen zu müssen.
Denn wie es immer so ist, wenn ich die Daten brauche, dann habe ich den Stick gerade nicht einstecken!

Kann man in der FB (originale FW) den Benutzernamen für den FTP zugriff ändern?
Kann man das Passwort verlängern ?
Wie kann ich in der Firewall den Zugriff auf einen Adressbereich einschränken?
 
Wie wäre es denn mit einem manuellen Umlegen des Port 21 auf etwas < 10000. Etwa 21212. Dort sind solche Angriffe wesentlich seltener.
Manuelle forwardings kannst du ja in der ar7.cfg vornehmen.
Ändern des AVM-ftpuser geht übrigens nicht.
Ist die PW-Länge in der 80er-FW der 7170 noch immer bei max. 8 Stellen?
An der 7270 wurde das auf 32 Stellen angehoben.
 
colonia27 schrieb:
Ist die PW-Länge in der 80er-FW der 7170 noch immer bei max. 8 Stellen?
An der 7270 wurde das auf 32 Stellen angehoben.
Zum Vergrößern anklicken....
Also meine zeigt noch max. 8 an, aber danke für den Hinweis,
ich habe seit der 29.04.70 kein Werksreset gemacht.
Ich werde mal testen ob das nach dem Werksreset anders ist.
Ja, bei 32 Stellen würde ich mich schon wesenlich sicherer fühlen.
Aber, daß die FB mich nicht irgendwie warnt finde ich schon sehr seltsam.

Den Port würde ich gerne Umlegen ! Kannst bitte helfen, was muß ich da genau ändern ?
 
Ich habe auch einen FTP Server, allerdings nicht auf der Fritte. Der war mir nicht komfortabel genug.

Ich nutze zFTP. Da ich dort auch mit Angriffen zu kämpfen habe, habe ich meine FTP Software so eingestellt, dass wenn sich Jemand mehr als 5 x innerhalb von 10 min falsch einloggt die IP Adresse geblockt wird.

Wenn gewünscht, kann ich ein paar IP Adressen posten von denen ich in angegriffen wurde.

Im Übrigen wurde mein FTP Server von der gleichen Person angegriffen, jedoch mit der IP Adresse 109.123.78.14

Ich habe am Anfang die Inhaber von einigen IP Adressen angeschrieben, dass sich dort User versucht haben anzumelden, aber da kam nie eine Rückmeldung.
 
Feuer-Fritz schrieb:
Wie für Dich gemacht, ist die 29.04.80 erschienen:
Zum Vergrößern anklicken....
Echt ein lustiger Zufall. Ich hatte in der Eisbären-Signatur ganz überlesen, das es "nur" eine 80er-Labor war, und nicht die Release. Aber nu ist sie ja draussen :)

eisbaerin schrieb:
Den Port würde ich gerne Umlegen ! Kannst bitte helfen, was muß ich da genau ändern ?
Zum Vergrößern anklicken....
Hab doch schon geholfen. ;-)
Stichworte für die Forensuchen sind: ar7.cfg , forwarding , telnet
 
Na die Release .80 für die FB7170 gibt es ja auch erst seit heute.
Habe mich schon wie ein Scheekönig gefreut, ABER:
nach einspielen, Werksreset und POR - es sind immernoch nur max. 8 Zeichen erlaubt !!!

Zum forwarding: Ich habe in der ar7.cfg nichts gefunden, wo der Port 21 frei gegeben wird,
auch nicht in der usb.cfg.
Ich dacht Du weißt es sofort aus dem Kopf und sagst ändere das ... in das ...


@Elsi29: Ich wollte aber den Rechner nicht immer laufen lassen und der zFTP läuft doch auf Windows oder liege ich da falsch ?
 
@eisbaerin:
Jap, läuft auf Windows.
 
Die Stelle in der ar7.cfg nennt sich "forwardrules" und schau in etwa so aus:
Code: 
 forwardrules =
                "tcp 0.0.0.0:xxxx 192.168.78.102:xxxx 0 # bezeichnung",
                "tcp 0.0.0.0:xxxx 0.0.0.0:xxxx 0 # bezeichnung",
                "tcp 0.0.0.0:xxxx 0.0.0.0:xxxx 0 # bezeichnung",
                "tcp 0.0.0.0:xxxx+x 0.0.0.0:xxxx 0 # bezeichnung"[B][COLOR=Red];[/COLOR][/B]
Ich weiß leider nicht, ob der AVM-FTP dort automatisch sein 21er-Forwarding einträgt.
Unter anderem aus diesen Sicherheitsbedenken nutze ich den vsftpd aus freetz. Und natürlich wegen der vernünftigen multiuser-Verwaltung.
Was deine PW-Länge angeht, hmm, kann ich leider nicht helfen da ich keine 7170 hab und es nicht testen kann. Aber vielleicht fragst du einfach mal im entsprechenden FW-Thread nach.

[EDIT] seh grad, haste ja schon.
 
Zuletzt bearbeitet von einem Moderator:
Danke, habs gefunden, waren die Augen wohl gestern doch schon zu klein.

jetzt steht da: "tcp 0.0.0.0:21 0.0.0.0:21 0",

wen ich den Port auf 12121 ändern will,

ist dann das richtig?: "tcp 0.0.0.0:12121 0.0.0.0:21 0",

und wenn ich noch den Adressbereich auf 80.0.0.0 bis 95.255.255.255 einschränken will,

ist dann das richtig?: "tcp 80.0.0.0 240.0.0.0:12121 0.0.0.0:21 0",

Wozu ist die letzte 0 da ?
 
eisbaerin schrieb:
ist dann das richtig?: "tcp 0.0.0.0:12121 0.0.0.0:21 0",
Zum Vergrößern anklicken....
Sollte passen.
ist dann das richtig?: "tcp 80.0.0.0 240.0.0.0:12121 0.0.0.0:21 0",
Zum Vergrößern anklicken....
Oje, das weiß ich nicht genau. Müsste selbst irgendwo nachlesen.
Wozu ist die letzte 0 da ?
Zum Vergrößern anklicken....
Bin mir ebenfalls nicht mehr sicher, aber irgendwo stand was dazu.
Glaube aber, das sie das stehen muss... wieso auch immer.

Beachte bitte UNBEDINGT, daß nach der letzten Zeile deiner forwardings ein ";" stehen MUSS und kein ",". Eben so wie in meinem Beispiel.
Ausserdem musst du nach dem speichern der Datei noch ein
Code: 
ar7cfgchanged
ausführen. Dadurch werden die Einstellungen aktiv. Leg dir aber bitte vorher noch eine Sicherung deiner Konfiguration an, you never know ;-)
 
Kurz noch meine Gedanken dazu:
FTP-Angriffe gibt es immer wieder und wird es auch immer wieder geben. Dazu kann ich Dir megabyteweise Logs meines ftp-Servers geben, die das belegen.
Daher ist bei den geringen Sicherheitsmaßnahmen der Fritzbox von einer Freigabe des USB-Sticks ins Internet abzuraten. Da fehlt halt die immer wieder geforderte Rechteverwaltung wie Benutzername & dazugehörigem Passwort, Zugriffsrechte, wer was lesen schreiben darf, Protokoll, IP-Verwaltung usw
Dazu bedarf es im Moment eines anderen PCs, auf dem dann z.B. filezilla läuft.
Alternativ sollte über den Einsatz von VPN nachgedacht werden, um dann von "innen" auf den Stick zuzugreifen. Dann bist Du auf der sicheren Seite und keiner von außen erkennt auch nur, dass bei Dir ein ftp-Server läuft!

Momentan laufen diese Angriffe hauptsächlich nach folgendem Muster ab: Benutzername "Admin" in allen Schreibweisen, also admin, administrator, Admin, Administrator, ADMIN, ADMINISTRATOR usw. Dazu kommen noch alle möglichen reellen Namen aus Wörterbüchern.
Das Passwort ist fast immer ein reiner Wörterbuchbegriff oder seltener Buchstabenkombinationen, wie: a, aa, aaa, b, bb, bbb ...
Daher ist auch bei einem echten ftp-Server (der Fritz spreche ich bei jetzigen Firmwarestand das einfach ab!) vom Benutzer "Admin" abzuraten. Ebenfalls von echten Namen als Benutzernamen.
Dann hast Du schon fast gewonnen. Klar, dass Passwort sollte Groß- Kleinschreibung incl. Sonderzeichen und Ziffern enthalten. Dann ist ein erfolgreicher Brute-Force-Angriff fast unmöglich.
 
Auch meine Zustimmung !

Ich hatte Glück, das der Angreifer den Benutzernamen nicht kannte und auch mit den ganzen Admins gesucht hatte, obwohl der FTP-Server sich mit "FRITZ!Box Fon Wlan 7170 FTP Server ready" im Mitschnitt meldet und damit fast jeder hier sofort den Benutzernamen weis.
 
Zuletzt bearbeitet:
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 724 (Mitglieder: 26, Gäste: 698)

Neueste Beiträge

Statistik des Forums

Themen
244,837
Beiträge
2,219,236
Mitglieder
371,543
Neuestes Mitglied
Brainbanger
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück