46010
46010
12.05.2007, aktualisiert am 13.05.2007
view8424
view13
0
Goto Top

FTP-Server wird Gehackt?

gelöstFrageSicherheitErkennung, Abwehr
Hi,

schaut euch das mal an, ich seh das schon richtig das da jemand mit nem Tool versucht meinen ftp-server zu Hacken? Die Einträge gehen ewig so weiter...

Sat 12 May 2007 [04:37:53] 000092 USER boby
Sat 12 May 2007 [04:37:53] 000092 User connecting, login unknown: boby ; IP:218.149.205.185
Sat 12 May 2007 [04:37:53] 000092 331 User login OK, waiting for password
Sat 12 May 2007 [04:37:53] 000092 PASS
Sat 12 May 2007 [04:37:53] 000092 530 Identification failed, please try again
Sat 12 May 2007 [04:37:53] 000092 USER boby
Sat 12 May 2007 [04:37:53] 000092 User connecting, login unknown: boby ; IP:218.149.205.185
Sat 12 May 2007 [04:37:53] 000092 331 User login OK, waiting for password
Sat 12 May 2007 [04:37:54] 000092 PASS
Sat 12 May 2007 [04:37:54] 000092 530 Identification failed, please try again
Sat 12 May 2007 [04:37:54] 000092 USER bogus
Sat 12 May 2007 [04:37:54] 000092 User connecting, login unknown: bogus ; IP:218.149.205.185
Sat 12 May 2007 [04:37:54] 000092 331 User login OK, waiting for password
Sat 12 May 2007 [04:37:54] 000092 PASS
Sat 12 May 2007 [04:37:54] 000092 530 Identification failed, please try again
Sat 12 May 2007 [04:37:55] 000092 USER bogus
Sat 12 May 2007 [04:37:55] 000092 User connecting, login unknown: bogus ; IP:218.149.205.185
Sat 12 May 2007 [04:37:55] 000092 331 User login OK, waiting for password
Sat 12 May 2007 [04:37:55] 000092 PASS
Sat 12 May 2007 [04:37:55] 000092 530 Identification failed, please try again
Sat 12 May 2007 [04:37:55] 000092 USER bogus
Sat 12 May 2007 [04:37:55] 000092 User connecting, login unknown: bogus ; IP:218.149.205.185
Sat 12 May 2007 [04:37:55] 000092 331 User login OK, waiting for password
Sat 12 May 2007 [04:37:56] 000092 PASS
Sat 12 May 2007 [04:37:56] 000092 421 Identification failed too many times, you're disconnected
Sat 12 May 2007 [04:37:56] 000093 User connecting, IP:218.149.205.185
Sat 12 May 2007 [04:37:56] 000093 220 CFScout FTPServer Welcome !
Sat 12 May 2007 [04:37:57] 000093 USER bogus
Sat 12 May 2007 [04:37:57] 000093 User connecting, login unknown: bogus ; IP:218.149.205.185
Sat 12 May 2007 [04:37:57] 000093 331 User login OK, waiting for password
Sat 12 May 2007 [04:37:57] 000093 PASS
Sat 12 May 2007 [04:37:57] 000093 530 Identification failed, please try again
Sat 12 May 2007 [04:37:57] 000093 USER bonnie
Sat 12 May 2007 [04:37:57] 000093 User connecting, login unknown: bonnie ; IP:218.149.205.185
Sat 12 May 2007 [04:37:57] 000093 331 User login OK, waiting for password
Sat 12 May 2007 [04:37:57] 000093 PASS
Sat 12 May 2007 [04:37:57] 000093 530 Identification failed, please try again
Sat 12 May 2007 [04:37:58] 000093 USER bonnie
Sat 12 May 2007 [04:37:58] 000093 User connecting, login unknown: bonnie ; IP:218.149.205.185
Sat 12 May 2007 [04:37:58] 000093 331 User login OK, waiting for password
Sat 12 May 2007 [04:37:58] 000093 PASS
Sat 12 May 2007 [04:37:58] 000093 530 Identification failed, please try again
Sat 12 May 2007 [04:37:58] 000093 USER bonnie
Sat 12 May 2007 [04:37:58] 000093 User connecting, login unknown: bonnie ; IP:218.149.205.185
Sat 12 May 2007 [04:37:58] 000093 331 User login OK, waiting for password
Sat 12 May 2007 [04:37:59] 000093 PASS **
Sat 12 May 2007 [04:37:59] 000093 530 Identification failed, please try again
Sat 12 May 2007 [04:37:59] 000093 USER boris
Sat 12 May 2007 [04:37:59] 000093 User connecting, login unknown: boris ; IP:218.149.205.185

Nach jeweils 5 erfolglosen Versuchen schmeist ihn mein FTP-Server wohl kurz raus, hab das jetzt auf BAN umgestellt....Anfrage kommt wohl irgendwo aus Korea...

Kann man da irgendwas unternehmen?

Gruss Christian
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 58863

Url: https://administrator.de/contentid/58863

Ausgedruckt am: 20.11.2024 um 06:11 Uhr

13 Kommentare
Neuester Kommentar
Goto Top
brammer
brammer 12.05.2007 um 18:40:50 Uhr
Goto Top
Hallo,

den anmeldenamen nach zu urteilen sieht das wie eine Wörterbuch Attacke aus.
Wenn du keine Anmeldenamen aus einem Wörterbuch verwendest sollte es dem "Angreifer" schwer fallen rein zu kommen.
Sichere Passwörter, sichere Anmeldenamen dann sollte es das sein. Wenn die FTP Software zu dem noch auf einem aktuellen Stand ist, sollte es reichen.
46010
46010 12.05.2007 um 18:54:32 Uhr
Goto Top
Hi,

na ja Standard-namen hab ich natürlich keine drinnen, aber überarbeiten werd ich die Zugänge schon (ellenlange Passwörter und so), die Einträge sind Kilometerlang...über stunden ist das gelaufen....

Ich hab in dem Tool (CesarFtpSrv) nur einen Schalter gefunden, eben Abwurf nach x ungültigen versuchen, oder Ban. Eine Ban-liste ist vorhanden also geh ich mal davon aus (probiert hab ichs natürlich noch nicht und Doku gibt keine) das von der Logik her die IP dann gebloggt wird.

Gegen den Versauch an sich kann man nix unternehmen?

Gruss Christian
t3r0x
t3r0x 12.05.2007 um 19:04:36 Uhr
Goto Top
Dem Betreiber eine Email schreiben, dass sein Server gehackt wurde.

http://218.149.205.185 echamcom@hanmail.net

Gruss Andy
Torsten72
Torsten72 12.05.2007 um 19:12:13 Uhr
Goto Top
einfach auf sftp über ssh2 umstellen, damit können auch ms-fan-boys mit filezilla cient oder winscp drauf zugreifen und das pw kann auch nicht ersnifft werden

außerdem ist das "abtasten" eines pcs auf zugangsmöglichkeiten legal, nur der unberechtigte zugriff nicht - aber der ist ja noch nicht erfolgt...

letztendlich versucht der zugreifer es nicht mit dem namen "Administrator", so dass in diesem falle eher von einem fehler als von einer attake auszugehen ist
46010
46010 12.05.2007 um 19:16:31 Uhr
Goto Top
...Administrator und alle Varianten davon waren auch dabei....


Gruss Christian
16568
16568 12.05.2007 um 19:55:17 Uhr
Goto Top
Auch ich mach' es bei meinen Kunden mittlerweile so, Ftp off, Sftp an, und dann SSH auf einen anderen Port umbiegen.

Generell sind aber in meiner Firewall sowieso alle IP-Ranges gesperrt, welche nicht meinem Kunden-Pool entsprechen könnten...


Lonesome Walker
spacyfreak
spacyfreak 12.05.2007 um 20:54:02 Uhr
Goto Top
Ports umbiegen ist ein probates Mittel um die "gängigen" Script Kiddie Attacken zumindest zu erschweren. Dann muss man den "berechtigten" Clients die umgebogenen Ports jedoch mitteilen.
Ansonsten hilft (meines Wissens) nur ein Intrusion Prevention, bzw. Sperrung der angreifenden IP bei einer bestimmten Anzahl von Zugriffsversuchen über einen Automatismus - gute Passwörter und "ungewöhnliche" Login-Namen mal vorrausgesetzt.

Prinzipiell nutze ich garkeine Protokolle, die unverschlüsselt übertragen.
Das Passwort flutscht unverschlüsselt über X Internet-Router und kann ersnifft werden.
46010
46010 12.05.2007 um 21:04:00 Uhr
Goto Top
Könnt ihr mir einen SFTP-SRV-Tool für w2k empfehlen? Gibts das per Freeware?
Torsten72
Torsten72 13.05.2007 um 11:27:12 Uhr
Goto Top
besser als ein ftp server ist z.b. copssh. unter win einfach zu installieren: user auf maschine anlegen, user im copssh aktiviren (aber kein keyfile anlegen) für /sftponly; pfw port 22 = on, router port 22 = weiterleiten... fertig.

zugriff mit winscp oder filezilla client, dort option: sftp über ssh2 und port 22, fertig

http://www.itefix.no/phpws/index.php?module=linkman&LMN_op=visitLin ...

den begriff: freeware solltest du aus deinem wortschatz streichen, bzw durch "gpl" ersetzen - man hat einfach mehr davon
46010
46010 13.05.2007 um 13:02:02 Uhr
Goto Top
hi, und danke für den tipp.

habs inst., wenn ichs auf dem server mit putty probier komm ich rein, wenn ichs extern mit winscp probier lässt er mich nicht rein..., hm, muss ich da noch die publik-key-datei angeben oder so?

gruss christian
46010
46010 13.05.2007 um 13:27:05 Uhr
Goto Top
hat sich erledigt...

im winscp muss ausser der url nix eingetragen werden, dann gings face-smile

danke nochmal für den tipp und schönen sonnteg noch

christian
Torsten72
Torsten72 13.05.2007 um 19:29:38 Uhr
Goto Top
du wirst merken, das sich das viel leichter einrichten lässt, als dieses "im ansatz verrissene" ftp protokoll... und wesentlich sicherer als dieser ftp mit tls etc.... frickelkram, nur eben muss man auf seinem system die rechte ordentlich geklärt haben
46010
46010 13.05.2007 um 20:59:03 Uhr
Goto Top
...Hab keinen Zugang für Admin oder so eingerichtet sondern gleich nen neuen User angelegt (mit eingeschränkten Rechten) und diesem den Zugang nun gestattet, na mal sehen was meine (Logfiles gibts ja jetzt nicht mehr) Ereignissanzeige nun so feststellt.

Was ich vermisse ist irgendwie ne gebündelte Zusammenfassung über die Möglichkeiten diese Pakets insgesamt, die Website selbst hält sich ja ziemlich bedeckt.
Aufgefallen ist mir beispielsweise das zwar die Angabe im Usermanager zum Homeordner sauber übernommen wird, ein Wechsel in Ordner darunter trotzdem möglich ist, was ja eigentlich nicht sein sollte.

Vielleicht hab ich irgend wo auch auch noch einen kleinen Fehler, gebe ich bei "Activate a user" an "only sftp" und wähle gleiches in winscp komm ich nicht drauf, wähle ich bash gehts einwandfrei....
gelöstFrageSicherheitErkennung, Abwehr
Heiß diskutiert
FohnbitNetzwerkgerät im Netzwerk verschwindet nach NeustartFohnbit - 34 KommentarecseLaufwege erfassen in großer Hallecse - 20 Kommentaresuperfun2k24SSL VPN an Sophos UTM sehr langsamsuperfun2k24 - 16 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 15 KommentareFrontierAbsicherung eines privaten GastnetzesFrontier - 14 KommentareadmtechEntwicklertagebuch: Release 6.4 - Filteradmtech - 13 KommentareaufdemmarsHP Z620 USB hat kein Strom beim Startenaufdemmars - 13 Kommentareuser217Kaufberatung Hardware - Hyper-V Cluster 3 Nodesuser217 - 12 KommentareYan2021Nachricht an mehrere PCs im Netzwerk sendenYan2021 - 12 Kommentarejoh316Excel stürzt ab nach Kopieren in die Zwischenablagejoh316 - 11 KommentareMegaadwwhWireguard tunnel kann nicht hergestellt werdenMegaadwwh - 11 KommentareZZaaiiggaaEDIFACT - Keins vorhanden ?ZZaaiiggaa - 11 Kommentare