Dieser Beitrag ist schon älter. Bitte vergewissern Sie sich, dass die Rahmenbedingungen oder der enthaltene Lösungsvorschlag noch dem aktuellen Stand der Technik entspricht.

FTP Sicherheit bei Angriff von Hackern

Mitglied: sector

Hacker

Seit ein paar Tagen versuchen 3 Hacker sich auf meinen FTP Server einzuschläusen!!! Sie kommen natürlich nicht so schnell hinein.
Gibt es eine Möglichkeit diese Abzuhalten sich immer einloggen zu wollen. Ich dachte so an eine Idee.
Nach viermaligen Anmeldungen einfach 10 min. den FTP Zugang zu stoppen!!!!! Mit ip tables müßte es doch gehen???oder???
Ich wäre sehr froh wenn ihr mir einen Tip geben könntet!!!!!!!

Danke

Content-Key: 34074

Url: https://administrator.de/contentid/34074

Ausgedruckt am: 30.11.2021 um 08:11 Uhr

Mitglied: 6890
6890 12.06.2006 um 15:17:56 Uhr
Goto Top
hallo,

ich denk ehher mal das mußt du bei deinem ftp server einstellen, denn iptables sind ja im endeffekt nur die firewall die sagt von wo wer wo drauf darf oder ni.

was isses den für ein ftp server??

mfg godlike P
Mitglied: sector
sector 12.06.2006 um 15:26:54 Uhr
Goto Top
ne' ganz normale Linux Büchse mit VS FTP SUSE 9.2
Mitglied: 16568
16568 12.06.2006 um 21:37:55 Uhr
Goto Top
Schick mir die 3 IP's der Kiddies per PN, und ich garantiere Dir, in einer Stunde is Ruh...


Lonesome Walker
Mitglied: 6890
6890 13.06.2006 um 07:39:25 Uhr
Goto Top
Schick mir die 3 IP's der Kiddies per PN, und
ich garantiere Dir, in einer Stunde is
Ruh...


Lonesome Walker

löl ;-) face-wink
Mitglied: sector
sector 13.06.2006 um 07:43:30 Uhr
Goto Top
Morgen, Morgen.............

ich suche sie noch heraus und sende sie dir in ca. 15 min.

bis denn
Mitglied: sector
sector 13.06.2006 um 08:03:44 Uhr
Goto Top
So dann wollen wir mal.............
69.26.175.108
216.84.43.82
200.157.226.229.
218.90.162.42

Ich finde es gut wenn du mir helfen kannst, aber ich ziele darauf hin , dass ich die Verbindung für eine Zeit(10 min.) unterbreche wenn sich eine IP ca. 4 mal falsch eingeloggt hat.
Die IP sperren lassen ist ja okay, aber es gibt ja auch noch andere..................
Ich habe nicht die Zeit immer die IP's manuell einzutragen. Die automatiesierte Methode wäre echt eine riesige Hilfe!!!
Wie gehst du vor??????
Mitglied: 16568
16568 13.06.2006 um 10:40:01 Uhr
Goto Top
Also, hinter der ersten IP steckt eine eigene Domain.
Hinter den anderen 3 steckt eine DFÜ-Einwahl.

Anhand der IP-Ranges kannst Du bestimmen, woher die kommen:


Location information for 69.26.175.108
LOS ANGELES, California, United States
Onestop.net

Da kann man mit einer Mail an den Provider schnell Schluß machen.


Search results for: 216.84.43.82

Xspedius Communications Co. ESPIRE-8BL (NET-216-84-0-0-1)
216.84.0.0 - 216.85.255.255
Aleev, Inc ALEEVI-200312221206610

Auch hier würde eine Mail helfen, würde jedoch zu lange dauert...


Search results for: 200.157.226.229
OrgName: Latin American and Caribbean IP address Regional Registry
OrgID: LACNIC
Address: Potosi 1517
City: Montevideo
StateProv:
PostalCode: 11500
Country: UY

Hier sind die Informationen ebenfalls sehr mau...
(möglich, daß hier ein Proxy handelt...)

Search results for: 218.90.162.42
OrgName: Asia Pacific Network Information Centre
OrgID: APNIC
Address: PO Box 2131
City: Milton
StateProv: QLD
PostalCode: 4064
Country: AU

Hier ebenfalls...


Aber wozu das Ganze?

Nun, je nachdem, aus welchem Land die Angreifer kommen, muß man die dortigen Internet-Verbindungen wissen; z.B. ist in der USA eine fest zugeteilte IP fast schon Standard, im Vergleich zu Deutschland, wo man sich mittels Einwahl und dynamischer IP rumquält.

Die erste IP läßt sich mit einer einfachen Mail an den Provider killen, die anderen 3 erfordern eben ein wenig manuelle Nachhilfe.


Ich würde den Ping 15 Minuten laufen lassen, und dann nachsehen, ob die angepingte IP noch weitermacht.
Wenn Script-Kiddies dahinterstecken, haben die hier meist schon die Hose voll...

Sollten es aber keine Script-Kiddies sein, so würde ich mich jetzt an Nmap gütlich tun, und einen Portscan auf die "freundlichen" Besucher Deines Ftp-Servers losjagen.

Aber mehr hierzu in einem neuen Tutorial...


Das mit den IP's aussperren ist ein Ding, welches ich früher auch mal gemacht habe, aber feststellen mußte, daß die Angreifer dann einfach ihre IP's gewechselt haben, sofern das Ziel profitabel erscheint, und es machbar ist.
Und wenn Du dann Angreifer aus Deutschland hast, nutzen die eh ein Script, daß nach jedem Login-Versuch (oder auch 3) disconnected, um sich dann neu einzuwählen.

Frag' nicht, woher ich das alles weiß...


Lonesome Walker
PS: Ich sagte doch PN... melde Dich, wenn Du die 4 nicht los wirst...
Mitglied: sector
sector 13.06.2006 um 11:05:58 Uhr
Goto Top
Erstmal Danke für die Hilfe!!!!
Woher du dich in diesen Fachgebiet auskennst will ich gar nicht wissen.................Respekt!
Naja, ich arbeite halt viel mit Windows.
Wenn ich den Ping laufen lasse bringt mich das nicht viel weiter. Im Monment jedenfalls.
DA du ja voll in der Materie steckst hätte ich ja doch eine Bitte. Ein Script zu schreiben für diesen Fall ist bestimmt sehr aufwendig. Ich habe nicht so den Schimmer...................
Vielleicht kannst du mir einen Tipp geben?????? Oder ein paar Links?????
Vielen Dank für deine Zeit & Wissen!!!
Mitglied: 16568
16568 13.06.2006 um 11:35:37 Uhr
Goto Top
Leider gibts in so einem Fall wie Deinem nur eines:

Zurückschlagen


Wie's geht, schreibe ich diese Woche in einem Tutorial, sofern mir da keiner zuvorkommt...


Lonesome Walker
Mitglied: sector
sector 13.06.2006 um 11:55:13 Uhr
Goto Top
Okay............Prima!
Kannst du mich bitte Informieren??????
Sonnigen Tag noch!!!!!!!!!!
Heiß diskutierte Beiträge
question
Adminpasswort löschenaleks08Vor 1 TagFrageWindows 712 Kommentare

Bei einem Kollegen hat jemand den Rechner eingerichtet und dabei ein Adminpasswort vergeben. Das Adminpasswort kennt er aber nicht und der Einrichter ist nicht mehr ...

question
Medienwandler für Glasfaser gelöst Reamer76Vor 1 TagFrageHardware9 Kommentare

Guten Tag liebe Admins, ich bräuchte mal Eure Hilfe für die Anschaffung eines Medienwandlers. Wir werden nächsten Monat freigeschaltet, Anbieter ist Wemacom. Ich habe die ...

question
Ethernet-LAN und DSL über Telefonkabel gelöst 150103Vor 1 TagFrageNetzwerke10 Kommentare

Hallo Administrator-Forum, ich habe hier ein ungewöhnliches Szenario, dass ich euch gerne näher bringen würde. Auf einem Grundstück gibt 2 Häuser (H1 und H2). Im ...

question
AD Server von 2012 R2 auf Server 2019 R2 hochgesetzt. Domänenlevel noch 2012 Aber nun geht kein LDAPS . LDAP geht gelöst itititVor 1 TagFrageWindows Server13 Kommentare

Hallo zusammen, wir haben die Server 2012 R2 mit Server 2019 R2 ersetzt. Neue Server kein Inplace. Die neuen DCs haben IP und Name gleich ...

question
Euro Zeichen geht nicht mehr gelöst GwaihirVor 22 StundenFrageWindows 1014 Kommentare

Hallo zusammen, bei einem User geht das Euro-Zeichen nicht mehr. Er kann es nur noch über Copy&Paste aus der Zeichentabelle einfügen. Auch STRG+ALT+E klappt nicht. ...

question
"Nicht identifiziertes Netzwerk" bei VPN VerbindungKatachi29Vor 1 TagFrageDSL, VDSL5 Kommentare

Hallo zusammen, ich habe seit einiger Zeit das Problem, dass, wenn ich mich daheim bei meinem Sophos SSL VPN Client anmelde, immer die Meldung: "Nicht ...

question
Bitlockerpartition versehentlich gelöscht Läppi findet nach Partitiosformatierung mbr gpt die Partition nicht wiederPCChaosVor 20 StundenFrageWindows 1010 Kommentare

Hallo zusammen, Ich habe ein riesen Problem, das mir sonst einfach erschien. Ich hatte eine Bitlocker Partition D: auf meinem C: Laufwerk installiert. Weil Windows ...

question
Dauernd gesperrter User in der ADChristianIT2021Vor 1 TagFrageWindows Server3 Kommentare

Hallo zusammen, Ich habe ein riesen Problem ich habe einen User der wird immer wieder gesperrt. Über die Eventlgs habe ich schon herausgefunden aus welcher ...