FTP wird angegriffen
Hallo zusammen.
Ich habe seit einigen Tagen ein größeres Problem. In letzter Zeit wird mein FTP Server immer wieder von Hackern angegriffen.
Hier das Filezilla log:
Das ist nur ein kleiner Ausschnitt.
Wie unschwer zu erkennen ist, versucht sich der unbekannte immer wieder mit dem benutzeraccount Administrator anzumelden. Da ich auf dem Server der einzige mit FTP Zugang bin und der USER Administrator nicht existiert gehe ich von einem Fremdzugriff aus.
Das ist jetzt schon das dritte mal in dieser Woche.
Ich hatte nicht erwartet etwas damit zu erreichen. Dennoch war es einen Versuch wert einen WHOIS Lookup zu machen.
Das brachte folgendes Ergebniss:
Nun zu meiner Frage. Was kann ich nun genau gegen solche Angreifer unternehmen. Es ist ja offensichtlich, dass hier scheinbar mittels bruteforce versucht wird in meinen FTP zu kommen. Ich denke es wird nicht einfach sein das jetzt nachzuvollziehen. Aber vielleicht gibt es ja eine möglichkeit etwas zu unternhemen, wären die verbindung steht.
Ich habe seit einigen Tagen ein größeres Problem. In letzter Zeit wird mein FTP Server immer wieder von Hackern angegriffen.
Hier das Filezilla log:
>(001957) 24.03.2010 11:09:30 - (not logged in) (124.225.122.163)> Connected, sending welcome message...
>(001957) 24.03.2010 11:09:30 - (not logged in) (124.225.122.163)> 220 FileZilla Server version 0.9.34 beta written by Tim Kosse (Tim.Kosse@gmx.de) Please visit http://sourceforge.
>(001957) 24.03.2010 11:09:35 - (not logged in) (124.225.122.163)> USER Administrator
>(001957) 24.03.2010 11:09:35 - (not logged in) (124.225.122.163)> 331 Password required for administrator
>(001957) 24.03.2010 11:09:41 - (not logged in) (124.225.122.163)> PASS ******
>(001957) 24.03.2010 11:09:41 - (not logged in) (124.225.122.163)> 530 Login or password incorrect!
>(001957) 24.03.2010 11:09:59 - (not logged in) (124.225.122.163)> USER Administrator
>(001957) 24.03.2010 11:09:59 - (not logged in) (124.225.122.163)> 331 Password required for administrator
>(001957) 24.03.2010 11:10:09 - (not logged in) (124.225.122.163)> PASS ******
>(001957) 24.03.2010 11:10:09 - (not logged in) (124.225.122.163)> 530 Login or password incorrect!
>(001957) 24.03.2010 11:10:24 - (not logged in) (124.225.122.163)> 421 Kicked by Administrator
>(001957) 24.03.2010 11:10:24 - (not logged in) (124.225.122.163)> disconnected.
Wie unschwer zu erkennen ist, versucht sich der unbekannte immer wieder mit dem benutzeraccount Administrator anzumelden. Da ich auf dem Server der einzige mit FTP Zugang bin und der USER Administrator nicht existiert gehe ich von einem Fremdzugriff aus.
Das ist jetzt schon das dritte mal in dieser Woche.
Ich hatte nicht erwartet etwas damit zu erreichen. Dennoch war es einen Versuch wert einen WHOIS Lookup zu machen.
Das brachte folgendes Ergebniss:
>IP Address: 124.225.122.163
>Source: whois.apnic.net
>Prefix: 124/8
>Designation: APNIC
>Status: ALLOCATED
>% [whois.apnic.net node-3]
>% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html
>
>inetnum: 124.225.122.0 - 124.225.122.255
>netname: Hainan-TELECOM
>descr: HaiKou New IDC Center
>country: CN
>admin-c: LZ8-AP
>tech-c: LZ8-AP
>mnt-by: MAINT-CN-CHINANET-HI
>changed: [Email Removed] 20081113
>status: ASSIGNED NON-PORTABLE
>source: APNIC
>
>route: 124.225.0.0/16
>descr: From Hainan Network of ChinaTelecom
>origin: AS4134
>mnt-by: MAINT-CHINANET
>changed: [Email Removed] 20060707
>source: APNIC
>
>person: liuqing zheng
>address: 20th Floor,TelecomCenter Building
>address: NanHai Avenue,HaiKou HaiNan province
>country: CN
>phone: +86-898-66816971
>fax-no: +86-898-66785993
>e-mail: [Email Removed]
>nic-hdl: LZ8-AP
>mnt-by: MAINT-CN-CHINANET-HI
>changed: [Email Removed] 20020822
>source: APNIC
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 139038
Url: https://administrator.de/contentid/139038
Ausgedruckt am: 22.11.2024 um 11:11 Uhr
8 Kommentare
Neuester Kommentar
Hallo,
solche Angriffe auf eine FTP Server sind normal.
Das ist kein Grund zur Beunrihigung, es sei denn, das Kennwort des FTP-Users ist zu einfach.
Für Server empfehle ich immer Kennwörter mit mind. 8 Zeichen, in denen Zahlen,Buchstaben und Sonderzeichen vorkommen müssen.
Grundsätzlich kann man gegen solche Angreifer nicht vorgehen, es sei denn Sie kommen aus Deutschland.
Also Kennwortstärke überdenken un dggf. das Kennwort ändern.
Gruß
Listo
solche Angriffe auf eine FTP Server sind normal.
Das ist kein Grund zur Beunrihigung, es sei denn, das Kennwort des FTP-Users ist zu einfach.
Für Server empfehle ich immer Kennwörter mit mind. 8 Zeichen, in denen Zahlen,Buchstaben und Sonderzeichen vorkommen müssen.
Grundsätzlich kann man gegen solche Angreifer nicht vorgehen, es sei denn Sie kommen aus Deutschland.
Also Kennwortstärke überdenken un dggf. das Kennwort ändern.
Gruß
Listo
Hallo,
autoban hast du aber schon eingeschaltet oder?
autoban hast du aber schon eingeschaltet oder?
Ähm - das ist jetzt das 3te Mal diese Woche? Na, dann ruf SEK, BND, CIA usw. sofort an. Die Navi-Seals sollen den Provider stürmen! Atomarer Angriff auf China da es scheinbar von denen kommt. Sofort alle Diplomatischen Kanäle schliessen - und den guten Regierungschef von China nen bösen Mann nennen!
Mal ernsthaft: Brute-Force-Angriffe wie den findest du bei öffentlich erreichbaren FTP-Servern im 100er Pack. Da sind die Script-Kiddys wie die Fliegen bei der Sch... -> finden die nen Haufen kommen sie gleich alle. Dabei ist es egal ob es sich um FTP, HTTP oder SMTP-Server handelt -> die Jungs scannen ganze Ranges von IPs ab um dort irgendwas zu finden (idR. machen die sich nichtmal die Mühe und lesen die Daten aus - so das die selbst nen ProFTPD der sich als Linux-Server ausgibt mit dem Usernamen "Administrator" angehen...).
Natürlich kannst du jetzt den Provider anschreiben. Allerdings hat das bei nem Chinesichem Provider in etwa denselben Erfolg als wenn du mit ner Gabel das Wasser aus dem Ozean abschöpfen willst. Und solang es nur Connect-Versuche sind würde auch in Deutschland kein Provider aktiv werden da derjenige dann eben sagt das er sich bei der IP vertippt hat und gut is...
Mal ernsthaft: Brute-Force-Angriffe wie den findest du bei öffentlich erreichbaren FTP-Servern im 100er Pack. Da sind die Script-Kiddys wie die Fliegen bei der Sch... -> finden die nen Haufen kommen sie gleich alle. Dabei ist es egal ob es sich um FTP, HTTP oder SMTP-Server handelt -> die Jungs scannen ganze Ranges von IPs ab um dort irgendwas zu finden (idR. machen die sich nichtmal die Mühe und lesen die Daten aus - so das die selbst nen ProFTPD der sich als Linux-Server ausgibt mit dem Usernamen "Administrator" angehen...).
Natürlich kannst du jetzt den Provider anschreiben. Allerdings hat das bei nem Chinesichem Provider in etwa denselben Erfolg als wenn du mit ner Gabel das Wasser aus dem Ozean abschöpfen willst. Und solang es nur Connect-Versuche sind würde auch in Deutschland kein Provider aktiv werden da derjenige dann eben sagt das er sich bei der IP vertippt hat und gut is...
Da kann ich dir seitenweise meine Logs zeigen.
1.) Gutes Passwort vergeben (mind. 8 Zeichen mit Gross/Kleinschreibung und Sonderzeichen).
2.) Autoban nach 3-5 Versuchen
3.) Ignorieren
Die Idee von maretz ist natürlich auch gut.
1.) Gutes Passwort vergeben (mind. 8 Zeichen mit Gross/Kleinschreibung und Sonderzeichen).
2.) Autoban nach 3-5 Versuchen
3.) Ignorieren
Die Idee von maretz ist natürlich auch gut.
Solange es den Benutzer nicht gibt, werden sie eh keinen Erfolg haben. Also sch... drauf.
Lieber mrtux,
nachdem ich das hier in der Firma mit der Flüssigen Form (ca. 3 Liter in 30 Min!) probiert habe gab es ärger mit meinem Chef. Ok - ich hätte ihm ggf. nicht auf die Hose kotzen sollen. Aber naja - ich wollte doch nur Zeit sparen und die flüssige Hopfen-Form schnellstmöglichst zu mir nehmen damit ich weiterarbeiten kann.
Leider hat mein Chef die Aussage so nicht angenommen das es mit der flüssigen Form klappt. Ich habe aber gelobt das ich mich bessere - ich denke ich habe Sie nur falsch verstanden. Nach langem Nachdenken bin ich drauf gekommen das die Anwendung wohl nicht bei mir sondern im Server stattfinden sollte. Nun - ich habe festen Hopfen in den Server gepackt - gibt es eigentlich einen guten Weg die Reste davon aus dem Kühl-Propeller zu bekommen? Da das aber nicht wirklich geholfen hat werde ich jetzt mal im Server die flüssige Form probieren.
Vielen Dank für den Ti
[user disconnected]
nachdem ich das hier in der Firma mit der Flüssigen Form (ca. 3 Liter in 30 Min!) probiert habe gab es ärger mit meinem Chef. Ok - ich hätte ihm ggf. nicht auf die Hose kotzen sollen. Aber naja - ich wollte doch nur Zeit sparen und die flüssige Hopfen-Form schnellstmöglichst zu mir nehmen damit ich weiterarbeiten kann.
Leider hat mein Chef die Aussage so nicht angenommen das es mit der flüssigen Form klappt. Ich habe aber gelobt das ich mich bessere - ich denke ich habe Sie nur falsch verstanden. Nach langem Nachdenken bin ich drauf gekommen das die Anwendung wohl nicht bei mir sondern im Server stattfinden sollte. Nun - ich habe festen Hopfen in den Server gepackt - gibt es eigentlich einen guten Weg die Reste davon aus dem Kühl-Propeller zu bekommen? Da das aber nicht wirklich geholfen hat werde ich jetzt mal im Server die flüssige Form probieren.
Vielen Dank für den Ti
[user disconnected]