46010
46010
May 12, 2007, updated at May 13, 2007 (UTC)
view8328
view13
0
Goto Top

FTP-Server wird Gehackt?

GermansolvedQuestionDetection, blockingSecurity
Hi,

schaut euch das mal an, ich seh das schon richtig das da jemand mit nem Tool versucht meinen ftp-server zu Hacken? Die Einträge gehen ewig so weiter...

Sat 12 May 2007 [04:37:53] 000092 USER boby
Sat 12 May 2007 [04:37:53] 000092 User connecting, login unknown: boby ; IP:218.149.205.185
Sat 12 May 2007 [04:37:53] 000092 331 User login OK, waiting for password
Sat 12 May 2007 [04:37:53] 000092 PASS
Sat 12 May 2007 [04:37:53] 000092 530 Identification failed, please try again
Sat 12 May 2007 [04:37:53] 000092 USER boby
Sat 12 May 2007 [04:37:53] 000092 User connecting, login unknown: boby ; IP:218.149.205.185
Sat 12 May 2007 [04:37:53] 000092 331 User login OK, waiting for password
Sat 12 May 2007 [04:37:54] 000092 PASS
Sat 12 May 2007 [04:37:54] 000092 530 Identification failed, please try again
Sat 12 May 2007 [04:37:54] 000092 USER bogus
Sat 12 May 2007 [04:37:54] 000092 User connecting, login unknown: bogus ; IP:218.149.205.185
Sat 12 May 2007 [04:37:54] 000092 331 User login OK, waiting for password
Sat 12 May 2007 [04:37:54] 000092 PASS
Sat 12 May 2007 [04:37:54] 000092 530 Identification failed, please try again
Sat 12 May 2007 [04:37:55] 000092 USER bogus
Sat 12 May 2007 [04:37:55] 000092 User connecting, login unknown: bogus ; IP:218.149.205.185
Sat 12 May 2007 [04:37:55] 000092 331 User login OK, waiting for password
Sat 12 May 2007 [04:37:55] 000092 PASS
Sat 12 May 2007 [04:37:55] 000092 530 Identification failed, please try again
Sat 12 May 2007 [04:37:55] 000092 USER bogus
Sat 12 May 2007 [04:37:55] 000092 User connecting, login unknown: bogus ; IP:218.149.205.185
Sat 12 May 2007 [04:37:55] 000092 331 User login OK, waiting for password
Sat 12 May 2007 [04:37:56] 000092 PASS
Sat 12 May 2007 [04:37:56] 000092 421 Identification failed too many times, you're disconnected
Sat 12 May 2007 [04:37:56] 000093 User connecting, IP:218.149.205.185
Sat 12 May 2007 [04:37:56] 000093 220 CFScout FTPServer Welcome !
Sat 12 May 2007 [04:37:57] 000093 USER bogus
Sat 12 May 2007 [04:37:57] 000093 User connecting, login unknown: bogus ; IP:218.149.205.185
Sat 12 May 2007 [04:37:57] 000093 331 User login OK, waiting for password
Sat 12 May 2007 [04:37:57] 000093 PASS
Sat 12 May 2007 [04:37:57] 000093 530 Identification failed, please try again
Sat 12 May 2007 [04:37:57] 000093 USER bonnie
Sat 12 May 2007 [04:37:57] 000093 User connecting, login unknown: bonnie ; IP:218.149.205.185
Sat 12 May 2007 [04:37:57] 000093 331 User login OK, waiting for password
Sat 12 May 2007 [04:37:57] 000093 PASS
Sat 12 May 2007 [04:37:57] 000093 530 Identification failed, please try again
Sat 12 May 2007 [04:37:58] 000093 USER bonnie
Sat 12 May 2007 [04:37:58] 000093 User connecting, login unknown: bonnie ; IP:218.149.205.185
Sat 12 May 2007 [04:37:58] 000093 331 User login OK, waiting for password
Sat 12 May 2007 [04:37:58] 000093 PASS
Sat 12 May 2007 [04:37:58] 000093 530 Identification failed, please try again
Sat 12 May 2007 [04:37:58] 000093 USER bonnie
Sat 12 May 2007 [04:37:58] 000093 User connecting, login unknown: bonnie ; IP:218.149.205.185
Sat 12 May 2007 [04:37:58] 000093 331 User login OK, waiting for password
Sat 12 May 2007 [04:37:59] 000093 PASS **
Sat 12 May 2007 [04:37:59] 000093 530 Identification failed, please try again
Sat 12 May 2007 [04:37:59] 000093 USER boris
Sat 12 May 2007 [04:37:59] 000093 User connecting, login unknown: boris ; IP:218.149.205.185

Nach jeweils 5 erfolglosen Versuchen schmeist ihn mein FTP-Server wohl kurz raus, hab das jetzt auf BAN umgestellt....Anfrage kommt wohl irgendwo aus Korea...

Kann man da irgendwas unternehmen?

Gruss Christian
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 58863

Url: https://administrator.de/contentid/58863

Printed on: April 19, 2024 at 04:04 o'clock

13 Comments
Latest comment
Goto Top
Member: brammer
brammer May 12, 2007 at 16:40:50 (UTC)
Goto Top
Hallo,

den anmeldenamen nach zu urteilen sieht das wie eine Wörterbuch Attacke aus.
Wenn du keine Anmeldenamen aus einem Wörterbuch verwendest sollte es dem "Angreifer" schwer fallen rein zu kommen.
Sichere Passwörter, sichere Anmeldenamen dann sollte es das sein. Wenn die FTP Software zu dem noch auf einem aktuellen Stand ist, sollte es reichen.
Mitglied: 46010
46010 May 12, 2007 at 16:54:32 (UTC)
Goto Top
Hi,

na ja Standard-namen hab ich natürlich keine drinnen, aber überarbeiten werd ich die Zugänge schon (ellenlange Passwörter und so), die Einträge sind Kilometerlang...über stunden ist das gelaufen....

Ich hab in dem Tool (CesarFtpSrv) nur einen Schalter gefunden, eben Abwurf nach x ungültigen versuchen, oder Ban. Eine Ban-liste ist vorhanden also geh ich mal davon aus (probiert hab ichs natürlich noch nicht und Doku gibt keine) das von der Logik her die IP dann gebloggt wird.

Gegen den Versauch an sich kann man nix unternehmen?

Gruss Christian
Member: t3r0x
t3r0x May 12, 2007 at 17:04:36 (UTC)
Goto Top
Dem Betreiber eine Email schreiben, dass sein Server gehackt wurde.

http://218.149.205.185 echamcom@hanmail.net

Gruss Andy
Member: Torsten72
Torsten72 May 12, 2007 at 17:12:13 (UTC)
Goto Top
einfach auf sftp über ssh2 umstellen, damit können auch ms-fan-boys mit filezilla cient oder winscp drauf zugreifen und das pw kann auch nicht ersnifft werden

außerdem ist das "abtasten" eines pcs auf zugangsmöglichkeiten legal, nur der unberechtigte zugriff nicht - aber der ist ja noch nicht erfolgt...

letztendlich versucht der zugreifer es nicht mit dem namen "Administrator", so dass in diesem falle eher von einem fehler als von einer attake auszugehen ist
Mitglied: 46010
46010 May 12, 2007 at 17:16:31 (UTC)
Goto Top
...Administrator und alle Varianten davon waren auch dabei....


Gruss Christian
Mitglied: 16568
16568 May 12, 2007 at 17:55:17 (UTC)
Goto Top
Auch ich mach' es bei meinen Kunden mittlerweile so, Ftp off, Sftp an, und dann SSH auf einen anderen Port umbiegen.

Generell sind aber in meiner Firewall sowieso alle IP-Ranges gesperrt, welche nicht meinem Kunden-Pool entsprechen könnten...


Lonesome Walker
Member: spacyfreak
spacyfreak May 12, 2007 at 18:54:02 (UTC)
Goto Top
Ports umbiegen ist ein probates Mittel um die "gängigen" Script Kiddie Attacken zumindest zu erschweren. Dann muss man den "berechtigten" Clients die umgebogenen Ports jedoch mitteilen.
Ansonsten hilft (meines Wissens) nur ein Intrusion Prevention, bzw. Sperrung der angreifenden IP bei einer bestimmten Anzahl von Zugriffsversuchen über einen Automatismus - gute Passwörter und "ungewöhnliche" Login-Namen mal vorrausgesetzt.

Prinzipiell nutze ich garkeine Protokolle, die unverschlüsselt übertragen.
Das Passwort flutscht unverschlüsselt über X Internet-Router und kann ersnifft werden.
Mitglied: 46010
46010 May 12, 2007 at 19:04:00 (UTC)
Goto Top
Könnt ihr mir einen SFTP-SRV-Tool für w2k empfehlen? Gibts das per Freeware?
Member: Torsten72
Torsten72 May 13, 2007 at 09:27:12 (UTC)
Goto Top
besser als ein ftp server ist z.b. copssh. unter win einfach zu installieren: user auf maschine anlegen, user im copssh aktiviren (aber kein keyfile anlegen) für /sftponly; pfw port 22 = on, router port 22 = weiterleiten... fertig.

zugriff mit winscp oder filezilla client, dort option: sftp über ssh2 und port 22, fertig

http://www.itefix.no/phpws/index.php?module=linkman&LMN_op=visitLin ...

den begriff: freeware solltest du aus deinem wortschatz streichen, bzw durch "gpl" ersetzen - man hat einfach mehr davon
Mitglied: 46010
46010 May 13, 2007 at 11:02:02 (UTC)
Goto Top
hi, und danke für den tipp.

habs inst., wenn ichs auf dem server mit putty probier komm ich rein, wenn ichs extern mit winscp probier lässt er mich nicht rein..., hm, muss ich da noch die publik-key-datei angeben oder so?

gruss christian
Mitglied: 46010
46010 May 13, 2007 at 11:27:05 (UTC)
Goto Top
hat sich erledigt...

im winscp muss ausser der url nix eingetragen werden, dann gings face-smile

danke nochmal für den tipp und schönen sonnteg noch

christian
Member: Torsten72
Torsten72 May 13, 2007 at 17:29:38 (UTC)
Goto Top
du wirst merken, das sich das viel leichter einrichten lässt, als dieses "im ansatz verrissene" ftp protokoll... und wesentlich sicherer als dieser ftp mit tls etc.... frickelkram, nur eben muss man auf seinem system die rechte ordentlich geklärt haben
Mitglied: 46010
46010 May 13, 2007 at 18:59:03 (UTC)
Goto Top
...Hab keinen Zugang für Admin oder so eingerichtet sondern gleich nen neuen User angelegt (mit eingeschränkten Rechten) und diesem den Zugang nun gestattet, na mal sehen was meine (Logfiles gibts ja jetzt nicht mehr) Ereignissanzeige nun so feststellt.

Was ich vermisse ist irgendwie ne gebündelte Zusammenfassung über die Möglichkeiten diese Pakets insgesamt, die Website selbst hält sich ja ziemlich bedeckt.
Aufgefallen ist mir beispielsweise das zwar die Angabe im Usermanager zum Homeordner sauber übernommen wird, ein Wechsel in Ordner darunter trotzdem möglich ist, was ja eigentlich nicht sein sollte.

Vielleicht hab ich irgend wo auch auch noch einen kleinen Fehler, gebe ich bei "Activate a user" an "only sftp" und wähle gleiches in winscp komm ich nicht drauf, wähle ich bash gehts einwandfrei....
GermansolvedQuestionDetection, blockingSecurity
Hotly discussed
AlexWishaHow to set up and configure a Linux GRE tunnelAlexWisha - 3 CommentsjstrickerWIREGUARD VPN ON UDM PRO BEHIND FRITZBOX - HANDSHAKE DID NOT COMPLETEjstricker - 1 CommentDaniEnd of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment