11
Angriff auf FTP- Server W2K SP4 incl. Patches
dauernde Attacken auf meinen FTP Server mit Administrator Account
Hallo zusammen,
ich habe vor ein paar Tagen auf meinem Webserver (W2K IIS) den FTP- Server aktiviert, um von unterwegs ab und zu mal auf meine Trickkiste zugreifen zu können.
Nun attackiert irgendein Witzbold im Sekundentakt meine Kiste, bis das Eventlog überläuft.
Er benutzt als Login den Administrator, der natürlich auf die FTP- Site keine Rechte hat.
Hier der Text aus dem Systenlog:
The server was unable to logon the Windows NT account 'Administrator' due to the following error: Logon failure: unknown user name or bad password. The data is the error code.
Hat jemand ne Idee, wie ich das abstellen könnte, bzw. dem Trottel auf die Schliche komme, ohne großen Aufwand?
Für eine Anregung wäre ich dankbar
Gruß - Toni
ich habe vor ein paar Tagen auf meinem Webserver (W2K IIS) den FTP- Server aktiviert, um von unterwegs ab und zu mal auf meine Trickkiste zugreifen zu können.
Nun attackiert irgendein Witzbold im Sekundentakt meine Kiste, bis das Eventlog überläuft.
Er benutzt als Login den Administrator, der natürlich auf die FTP- Site keine Rechte hat.
Hier der Text aus dem Systenlog:
The server was unable to logon the Windows NT account 'Administrator' due to the following error: Logon failure: unknown user name or bad password. The data is the error code.
Hat jemand ne Idee, wie ich das abstellen könnte, bzw. dem Trottel auf die Schliche komme, ohne großen Aufwand?
Für eine Anregung wäre ich dankbar
Gruß - Toni
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 32067
Url: https://administrator.de/contentid/32067
Printed on: April 23, 2024 at 14:04 o'clock
11 Comments
Latest comment
Hm, eigentlich solltest Du ja seine IP haben...
Ist es immer die selbe IP, oder wechselt der Spaßvogel?
Wenn es keine IP aus Deinem Netz ist, ist es als Angriff zu werten, und ich würde eine Mail an den zuständigen Provider absetzen.
Alternativ könntest auch Du ihn ein wenig "beschäftigen"...
Lonesome Walker
PS: Alternativ den Port umbelegen, z.B. 10021 ?
Ist es immer die selbe IP, oder wechselt der Spaßvogel?
Wenn es keine IP aus Deinem Netz ist, ist es als Angriff zu werten, und ich würde eine Mail an den zuständigen Provider absetzen.
Alternativ könntest auch Du ihn ein wenig "beschäftigen"...
Lonesome Walker
PS: Alternativ den Port umbelegen, z.B. 10021 ?
Hallo Lonesame Walker,
halt mich nicht für blöd, aber wo kann ich dessen IP sehen?
Das Log gibt nicht mehr her, und ich habe keinen Sniffer laufen
Die Zugriffe kommen definitiv von aussen, ich hab ein Fehllogin selbst getestet mit nem Phantasienamen, der steht dann auch so im Log. Von innen greift niemand drauf zu (ausser mir).
Gruß - Toni
halt mich nicht für blöd, aber wo kann ich dessen IP sehen?
Das Log gibt nicht mehr her, und ich habe keinen Sniffer laufen
Die Zugriffe kommen definitiv von aussen, ich hab ein Fehllogin selbst getestet mit nem Phantasienamen, der steht dann auch so im Log. Von innen greift niemand drauf zu (ausser mir).
Gruß - Toni
Es hält Dich hier niemand für dumm, eher bedauern wir Dich alle.
Schließlich gibt es nix schlimmeres, wenn ein Script-Kiddie versucht, Zugriff zu erlangen...
Start->Ausführen: cmd
netstat -a
dann sollten alle Verbindungen gelistet werden, die aktiv sind.
Lonesome Walker
Schließlich gibt es nix schlimmeres, wenn ein Script-Kiddie versucht, Zugriff zu erlangen...
Start->Ausführen: cmd
netstat -a
dann sollten alle Verbindungen gelistet werden, die aktiv sind.
Lonesome Walker
ein bißchen dumm schon, hab mittlerweile das Log gefunden, es ist immer die gleiche IP, hier ein Auszug:
#Software: Microsoft Internet Information Services 5.0
#Version: 1.0
#Date: 2006-05-09 16:46:19
#Fields: time c-ip cs-method cs-uri-stem sc-status
16:46:19 216.55.142.66 [26]USER Administrator 331
16:46:20 216.55.142.66 [26]PASS - 530
16:46:20 216.55.142.66 [26]USER Administrator 331
16:46:20 216.55.142.66 [26]PASS - 530
16:46:21 216.55.142.66 [26]USER Administrator 331
16:46:21 216.55.142.66 [26]PASS - 530
der netstat listet zwar schön auf, allerdings haperts etwas mit der Interpretation,
worauf muß ich achten?
#Software: Microsoft Internet Information Services 5.0
#Version: 1.0
#Date: 2006-05-09 16:46:19
#Fields: time c-ip cs-method cs-uri-stem sc-status
16:46:19 216.55.142.66 [26]USER Administrator 331
16:46:20 216.55.142.66 [26]PASS - 530
16:46:20 216.55.142.66 [26]USER Administrator 331
16:46:20 216.55.142.66 [26]PASS - 530
16:46:21 216.55.142.66 [26]USER Administrator 331
16:46:21 216.55.142.66 [26]PASS - 530
der netstat listet zwar schön auf, allerdings haperts etwas mit der Interpretation,
worauf muß ich achten?
Laut IP-Index ist die IP der Range:
216.55.128.0 - 216.55.191.255 Abacus America Inc. (NETBLK-ABAC1999A )
angehörend.
Meist haben die in der USA eine statische IP, also sollte eine Sperrung der Ip reichen.
Alternativ sperrst Du vorsichtshalber die Range 216.55.*.* per Firewall.
Lonesome Walker
216.55.128.0 - 216.55.191.255 Abacus America Inc. (NETBLK-ABAC1999A )
angehörend.
Meist haben die in der USA eine statische IP, also sollte eine Sperrung der Ip reichen.
Alternativ sperrst Du vorsichtshalber die Range 216.55.*.* per Firewall.
Lonesome Walker
Danke Dir für die schnellen Infos,
ich werd die Range mal dicht machen, im Moment hat er wohl aufgegeben.
Hat der eigentlich eine Chance, Unsinn anzurichten?
Anonymous ist deaktiviert, es ist nur ein User mit read- Berechtigung angelegt.
Gruß - Toni
ich werd die Range mal dicht machen, im Moment hat er wohl aufgegeben.
Hat der eigentlich eine Chance, Unsinn anzurichten?
Anonymous ist deaktiviert, es ist nur ein User mit read- Berechtigung angelegt.
Gruß - Toni
Aendere den Port deines FTP-Servers, waere eine einfache Moeglichkeit.
Das hat Lonsame Walker gestern schon vorgeschlagen, wenns nicht aufhört oder keine andere Möglichkeit gibt, werde ich das auch tun.
Allerdings wäre das eine Bankrotterklärung dem Hacker gegenüber....
Allerdings wäre das eine Bankrotterklärung dem Hacker gegenüber....
Laß mir bitte die aktuelle IP per PN zukommen; ich werde mal sehen, was man da so tun kann...
Lonesome Walker
Lonesome Walker
@lonesam Walker:
Danke, werd ich heut abend machen, wenn ich wieder zuhause bin!
Gruß - Toni
Danke, werd ich heut abend machen, wenn ich wieder zuhause bin!
Gruß - Toni
Hallo Lonesam Walker,
heute gabs keine Angriffe mehr, vielleicht hat er ja nach ca. 25000 Versuchen aufgegeben.
Ich hab mal ein Mail mit einem Logfile an den Provider geschickt, wie Du meintest, mal sehn, was und ob die was dazu sagen.
Vielen Dank nochmal für die Unterstützung
Gruß - Toni
heute gabs keine Angriffe mehr, vielleicht hat er ja nach ca. 25000 Versuchen aufgegeben.
Ich hab mal ein Mail mit einem Logfile an den Provider geschickt, wie Du meintest, mal sehn, was und ob die was dazu sagen.
Vielen Dank nochmal für die Unterstützung
Gruß - Toni
