cellanir
Goto Top

FTP wird angegriffen

Hallo zusammen.

Ich habe seit einigen Tagen ein größeres Problem. In letzter Zeit wird mein FTP Server immer wieder von Hackern angegriffen.
Hier das Filezilla log:
 >(001957) 24.03.2010 11:09:30 - (not logged in) (124.225.122.163)> Connected, sending welcome message...
 >(001957) 24.03.2010 11:09:30 - (not logged in) (124.225.122.163)> 220 FileZilla Server version 0.9.34 beta written by Tim Kosse (Tim.Kosse@gmx.de) Please visit http://sourceforge.
 >(001957) 24.03.2010 11:09:35 - (not logged in) (124.225.122.163)> USER Administrator
 >(001957) 24.03.2010 11:09:35 - (not logged in) (124.225.122.163)> 331 Password required for administrator
 >(001957) 24.03.2010 11:09:41 - (not logged in) (124.225.122.163)> PASS ******
 >(001957) 24.03.2010 11:09:41 - (not logged in) (124.225.122.163)> 530 Login or password incorrect!
 >(001957) 24.03.2010 11:09:59 - (not logged in) (124.225.122.163)> USER Administrator
 >(001957) 24.03.2010 11:09:59 - (not logged in) (124.225.122.163)> 331 Password required for administrator
 >(001957) 24.03.2010 11:10:09 - (not logged in) (124.225.122.163)> PASS ******
 >(001957) 24.03.2010 11:10:09 - (not logged in) (124.225.122.163)> 530 Login or password incorrect!
 >(001957) 24.03.2010 11:10:24 - (not logged in) (124.225.122.163)> 421 Kicked by Administrator
 >(001957) 24.03.2010 11:10:24 - (not logged in) (124.225.122.163)> disconnected.
Das ist nur ein kleiner Ausschnitt.

Wie unschwer zu erkennen ist, versucht sich der unbekannte immer wieder mit dem benutzeraccount Administrator anzumelden. Da ich auf dem Server der einzige mit FTP Zugang bin und der USER Administrator nicht existiert gehe ich von einem Fremdzugriff aus.

Das ist jetzt schon das dritte mal in dieser Woche.

Ich hatte nicht erwartet etwas damit zu erreichen. Dennoch war es einen Versuch wert einen WHOIS Lookup zu machen.
Das brachte folgendes Ergebniss:
 >IP Address:	124.225.122.163
 >Source:	whois.apnic.net
 >Prefix:	124/8
 >Designation:	APNIC
 >Status:	ALLOCATED
 >% [whois.apnic.net node-3]
 >% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html
 >
 >inetnum: 124.225.122.0 - 124.225.122.255
 >netname: Hainan-TELECOM
 >descr: HaiKou New IDC Center
 >country: CN
 >admin-c: LZ8-AP
 >tech-c: LZ8-AP
 >mnt-by: MAINT-CN-CHINANET-HI
 >changed: [Email Removed] 20081113
 >status: ASSIGNED NON-PORTABLE
 >source: APNIC
 >
 >route: 124.225.0.0/16
 >descr: From Hainan Network of ChinaTelecom
 >origin: AS4134
 >mnt-by: MAINT-CHINANET
 >changed: [Email Removed] 20060707 
 >source: APNIC
 >
 >person: liuqing zheng
 >address: 20th Floor,TelecomCenter Building
 >address: NanHai Avenue,HaiKou HaiNan province
 >country: CN
 >phone: +86-898-66816971
 >fax-no: +86-898-66785993
 >e-mail: [Email Removed]
 >nic-hdl: LZ8-AP
 >mnt-by: MAINT-CN-CHINANET-HI
 >changed: [Email Removed] 20020822
 >source: APNIC 
Nun zu meiner Frage. Was kann ich nun genau gegen solche Angreifer unternehmen. Es ist ja offensichtlich, dass hier scheinbar mittels bruteforce versucht wird in meinen FTP zu kommen. Ich denke es wird nicht einfach sein das jetzt nachzuvollziehen. Aber vielleicht gibt es ja eine möglichkeit etwas zu unternhemen, wären die verbindung steht.

Content-ID: 139038

Url: https://administrator.de/contentid/139038

Ausgedruckt am: 22.11.2024 um 11:11 Uhr

Listo
Listo 24.03.2010 um 11:35:20 Uhr
Goto Top
Hallo,

solche Angriffe auf eine FTP Server sind normal.
Das ist kein Grund zur Beunrihigung, es sei denn, das Kennwort des FTP-Users ist zu einfach.
Für Server empfehle ich immer Kennwörter mit mind. 8 Zeichen, in denen Zahlen,Buchstaben und Sonderzeichen vorkommen müssen.

Grundsätzlich kann man gegen solche Angreifer nicht vorgehen, es sei denn Sie kommen aus Deutschland.

Also Kennwortstärke überdenken un dggf. das Kennwort ändern.

Gruß
Listo
Arch-Stanton
Arch-Stanton 24.03.2010 um 11:39:24 Uhr
Goto Top
Oh mein Gott, gibt es denn wirklich Bosheit auf dieser Welt?!?

Gruß, Arch Stanton
45877
45877 24.03.2010 um 11:46:13 Uhr
Goto Top
Hallo,

autoban hast du aber schon eingeschaltet oder?
maretz
maretz 24.03.2010 um 11:59:12 Uhr
Goto Top
Ähm - das ist jetzt das 3te Mal diese Woche? Na, dann ruf SEK, BND, CIA usw. sofort an. Die Navi-Seals sollen den Provider stürmen! Atomarer Angriff auf China da es scheinbar von denen kommt. Sofort alle Diplomatischen Kanäle schliessen - und den guten Regierungschef von China nen bösen Mann nennen!

Mal ernsthaft: Brute-Force-Angriffe wie den findest du bei öffentlich erreichbaren FTP-Servern im 100er Pack. Da sind die Script-Kiddys wie die Fliegen bei der Sch... -> finden die nen Haufen kommen sie gleich alle. Dabei ist es egal ob es sich um FTP, HTTP oder SMTP-Server handelt -> die Jungs scannen ganze Ranges von IPs ab um dort irgendwas zu finden (idR. machen die sich nichtmal die Mühe und lesen die Daten aus - so das die selbst nen ProFTPD der sich als Linux-Server ausgibt mit dem Usernamen "Administrator" angehen...).

Natürlich kannst du jetzt den Provider anschreiben. Allerdings hat das bei nem Chinesichem Provider in etwa denselben Erfolg als wenn du mit ner Gabel das Wasser aus dem Ozean abschöpfen willst. Und solang es nur Connect-Versuche sind würde auch in Deutschland kein Provider aktiv werden da derjenige dann eben sagt das er sich bei der IP vertippt hat und gut is...
85335
85335 24.03.2010 um 12:48:02 Uhr
Goto Top
Da kann ich dir seitenweise meine Logs zeigen.
1.) Gutes Passwort vergeben (mind. 8 Zeichen mit Gross/Kleinschreibung und Sonderzeichen).
2.) Autoban nach 3-5 Versuchen
3.) Ignorieren

Die Idee von maretz ist natürlich auch gut.
86263
86263 24.03.2010 um 15:43:09 Uhr
Goto Top
Solange es den Benutzer nicht gibt, werden sie eh keinen Erfolg haben. Also sch... drauf.
mrtux
mrtux 24.03.2010 um 17:09:58 Uhr
Goto Top
Hi!

Baldrian oder Hopfen (auch in flüssiger Form) soll bei sowas recht gut helfen....

mrtux
maretz
maretz 25.03.2010 um 07:29:09 Uhr
Goto Top
Lieber mrtux,

nachdem ich das hier in der Firma mit der Flüssigen Form (ca. 3 Liter in 30 Min!) probiert habe gab es ärger mit meinem Chef. Ok - ich hätte ihm ggf. nicht auf die Hose kotzen sollen. Aber naja - ich wollte doch nur Zeit sparen und die flüssige Hopfen-Form schnellstmöglichst zu mir nehmen damit ich weiterarbeiten kann.

Leider hat mein Chef die Aussage so nicht angenommen das es mit der flüssigen Form klappt. Ich habe aber gelobt das ich mich bessere - ich denke ich habe Sie nur falsch verstanden. Nach langem Nachdenken bin ich drauf gekommen das die Anwendung wohl nicht bei mir sondern im Server stattfinden sollte. Nun - ich habe festen Hopfen in den Server gepackt - gibt es eigentlich einen guten Weg die Reste davon aus dem Kühl-Propeller zu bekommen? Da das aber nicht wirklich geholfen hat werde ich jetzt mal im Server die flüssige Form probieren.

Vielen Dank für den Ti
[user disconnected]