Versuche den FTP-Server zu "hacken" und DynDNS

[akbor]

Hi,

mir ist etwas merkwürdiges aufgefallen. Ich gehe davon aus, dass alle von Euch, die einen über WAN sichtbaren FTP-Server betreiben, öfters mal irgendwelche nicht authorisierte Login-Versuche von extern im System-Log sehen. Bei mir wird ganz oft (bruteforce) versucht, sich als "Administrator" einzuloggen. Gut, dass ich so einen FTP-Usernamen überhaupt nicht vergeben habe

Jetzt zu meiner Beobachtung. Diese Versuche häufen sich, nachdem ich z.B. selber über DynDNS auf meinen FTP authorisiert zugegriffen habe. Spinne ich jetzt? Bin ich paranoid, oder ist da jemand am Sniffen? Ich war früher der Meinung, dass diese Angriffe aus zufälligen Port-Scans resultieren. Wenn jemand den Traffic von DynDNS snifft, dann frage ich mich, warum sind alle Login-Versuche so dämlich erfolglos? Es wird ja alles im Klartext übertragen, soweit ich weiss, der Username wie das Passwort.

Was könnt Ihr zu dem Thema berichten?

Gruß

Robert

[newbiefan]

Hallo Akbor!

Alles absolut richtig - Dyndns ist mild ausgedrückt ein Scheunentor - wenn ich meinen FTP-Server einige Tage laufen lasse, habe ich tausende von Einträgen in den Log-Files. Aber die Versuche sind eher stümperhaft geblieben, und da ich nur sehr gute Passwörter und gute User benutze (immer mit etlichen Nummern usw.) werden die Versuche wohl auch das bleiben was sie sind - stümperhafte Versuche. Lästig ist es allemal, man könnte ja Logfiles auswerten und dann die IP sperren, dazu gibt es schon etliche Beiträge. Mir ist das noch zuviel Aufwand, solange meine Bandbreite nicht darunter leidet, sollen diese Deppen doch tippen wie die Irren - ein brauchbares Programm haben die noch nicht, manchmal dauert es mehrere Sekunden bis ein neuer Versuch erfolgt.
Ganz schlimm wird es, wenn man VPN hat, deshalb habe ich nur mehr FTP und Web laufen. Ist ausserdem wesentlich schneller.....

Schönen Sonntag noch.....

[legolas]

Hi,

was meinst Du damit "ganz schlimm wird es wenn man VPN hat"? Was passiert denn dann genau?

Ich konnte bei mir noch nichts feststellen, verwende jedoch nicht den Standard-Port.

Norbert

[thE_29]

Diesen Administrator bruteforce hatte ich auch vor ein paar Tage!
Habe mir dann ein gloabl_ban Script geschrieben

Alle Scripte liegen in /usr/local/sbin

commit:

#!/bin/sh
flashfs save && flashfs commit && flashfs enable

chmod +x commit

global_ban_ip:

#!/bin/sh
if [ -z $1 ] ; then
echo "Usage: $0 IP_to_ban"
else
iptables -I INPUT -p tcp -s $1 -j DROP
echo $1 >> /usr/local/sbin/.global_ban_file
/usr/local/sbin/commit > /dev/null 2>&1 &
fi

chmod +x global_ban_ip

unglobal_ban_ip:

#!/bin/sh
if [ -z $1 ] ; then
echo "Usage: $0 IP_to_unban"
else
iptables -D INPUT -p tcp -s $1 -j DROP
cat /usr/local/sbin/.global_ban_file | grep -v $1 >> /tmp/.global_ban_file
mv /tmp/.global_ban_file /usr/local/sbin
/usr/local/sbin/commit > /dev/null 2>&1 &
fi

chmod +x unglobal_ban_ip

.addGlobalBans:

#!/bin/sh
while read X
do
iptables -I INPUT -p tcp -s $X -j DROP
done < /usr/local/sbin/.global_ban_file

chmod +x .addGlobalBans

Am Ende von post-firewall gehört noch das dazu.
post-firewall:

.... # Inhalt deiner post-firewall
/usr/local/sbin/.addGlobalBans

Also wenn du in den LOG das siehst, dass dich jemand beim FTP angreift, bist du ja wahrscheinlich mit ssh/telnet drauf (Ansonsten wirds schwierig für dich).
Danach sagste einfach global_ban_ip und gibst die IP ein
diese wird ganz vorne auf die regel drop gestellt, dh, es verwirft jede Anfrage von dieser IP.
Der Befehl global_ban_ip added die IP zu den Firewall regeln und speichert es in die .global_ban_file und führt ein commit == speichern des /usr/local/sbin Verzeichnisses (und mehr) aus.

Das Script/Befehl unglobal_ban_ip remoed die IP von der Firewall und auch aus der Datei (falls vorhanden) und commited auch.

Nach einem reboot wird die post-firewall ausgeführt, deren letzter Befehl auf .addGlobalBans zeigt und dieser liest die datei .global_ban_file aus und setzt diese IPs auf DROP ANY, sodaß auch nach einem Reboot die IPs gebannt bleiben.

Das ist halt meine Lösung
Wenn man sich mit ssh/telnet nicht so auskennt, bräuchte man ein besseres HowTO und maybe eine grafische Lösung (man kann die GUI ja übermounten )
Für mich reicht diese Lösung aber.

[akbor]

...man könnte ja Logfiles auswerten und dann die IP sperren,...

da bist du aber lange besch&#228;ftigt eine Black-List n&#252;tzt an der Stelle nicht viel, es gibt einfach zu viele IP-Adressen, die der Angreifer benutzen kann. Vern&#252;nftig w&#228;re ein Script, das z.B. nach dem dritten Fehlversuch eine einst&#252;ndige Sperre reinhaut. Damit w&#228;re ein Bruteforce-Angriff unm&#246;glich. Noch vern&#252;nftiger w&#228;re eine White-List, du schaltest bestimmte IP-Adressen frei, bei DSL/DHCP von mir aus den ganzen Pool/Subnet.

Wie gesagt, ich habe das Gef&#252;hl, dass sich die Versuche h&#228;ufen, nachdem ich meinen FTP-Server mal selber benutzt habe. Das riecht mir nach einem Sniffer, entwerder bei meinem ISP oder bei DynDNS ("man in the middle" in meinem LAN gibt es garantiert nicht). In diesem Fall m&#252;ssten aber die Anmeldeversuche erfolgreich sein, oder der Sniffer ist eine absolute Pappnase. Das ist es, was ich nicht zusamenreimen kann.

Gru&#223;

Robert

[newbiefan]

@the_29
nicht schlecht, wenn es noch mehr werden, werde ich mir deine Scripts leihen und einfach alles automatisieren - zumindest für einige Minuten sperren....

Geht aber bei mir etwas anders als wie in den einschlägigen tuts beschrieben, da ja mein Asus hinter dem Dlink hängt.

@legolas
habe das sehr gute http://www.administrator.de/Fernzugr...kostenlos.html benutzt, aber eben nur auf Port22, kurz danach hatte ich enorme Mengen an Portscans inkl. ebenfalls stümperhafte Versuche, auf mein Netzwerk zuzugreifen. Jedenfalls war mein Webserver u. FTP auf Grund der massiven Scans kaum zu erreichen - bis hin zu DOS Attacken über den Webserver. Ich konnte zeitweilig nicht mal ins Internet.

@Akbor
Eine Blacklist hilft schon, man muss nur die jeweilige IP für etliche Minuten sperren. Ist aber ja genau was du auch meinst.....

Dass hier Sniffer unterwegs sind, glaube ich fast nicht, eher dass die Adressen von Dyndns leicht "erhältlich" sind. Wenn jemand wirklich gut sniffen kann und dabei auch noch deinen Namen "ersnifft", dann verwendet dieser ja eine Datenbank mit allen möglichen (gängigen) Usern und Passwörter. Das ginge dann wesentlich schneller und einfacher.
Also habe die halt nur deinen Namen, denn diese Dilletanten schaffen es ja nicht einmal mittels Ping MeinName meine IP zu holen, die verwenden doch glatt immer wieder meinen Namen!!!

LG

Ach ja, Sniffer aus dem Profibereich gibts ja schon lange:
http://de.wikipedia.org/wiki/Carnivore
http://www.dradio.de/dlf/sendungen/h...olitik/643770/
http://www.abendblatt.de/daten/2008/06/20/896285.html

[akbor]

@the_29

ich gebe es gleich zu, ich habe mich mit deinen Scripten noch nicht sehr intensiv auseinander gesetzt. Habe aber gleich ein Bedenken, du scheinst deine Ban-List im Flash zu speichern. Es w&#228;re sehr ratsam, sie im RAM zu halten! Ich weiss nicht, wie es bei den Asus-Ger&#228;ten mit Wear Leveling verh&#228;lt, vermutlich gibt es so etwas nicht, wozu auch. Wenn irgendein Idiot dein Script dazu n&#246;tigt, die Ban-List 100.000 Male zu aktualisieren, dann war's das mit dem Flash.

Gru&#223;

Robert

[thE_29]

Wie meinst du, er will sie öfter aktualisieren?

Und wenn man per ssh/telnet auf dem Teil ist, hoffe ich doch schon, dass man sich auskenn

[akbor]

Wie meinst du, er will sie öfter aktualisieren?

Ich meine, wenn diese Datei mehrere Tausend Male im Flash gespeichert wird, dann ist Flash hin&#252;ber.

Gru&#223;

Robert

[legolas]

Hi,

im Netz gibt es immer irgend welche Idioten, die Rechner hacken müssen. Die suchen wohl Speicherplatz für Ihren Tauschbörsen-Kram.

Wenn man Standard-Ports verwendet, dann läuft man immer die Gefahr, dass jemand auf diesen Ports mitsnifft. Man in the middle Atacken sind auch nicht ohne, da man an einem Knoten sitzen muss, um mitlauschen zu können. Wer da sitzt, hat es einfach.

Die genannten Angriffe kommen vermutlich aus anderen Netzen und können gar keine Man in the middle Atacken ausführen und müssen daher stur die Passwörter ausprobieren.

Ich gehe ausschliesslich immer über SSH oder VPN. Es gibt nur einen Port der offen ist und SSH annehmen kann. Damit hatte ich bis jetzt immer Ruhe. Zum Fileaustausch benutze ich SCP oder gehe über VPN.

Wozu benötigt Ihr denn den FTP-Server? Geht es denn nicht auch mit SCP oder SFTP?

Norbert

[akbor]

Wozu benötigt Ihr denn den FTP-Server? Geht es denn nicht auch mit SCP oder SFTP?

Gehen tut es schon. Ich benutze FTP aus reiner Bequemlichkeit. Es hat einen gewissen Charm, mal schnell einen User einzurichten und einem Bekannten/Freund/etc., der sich mit dem Kram übrigens nicht immer so gut auskennt, mal schnell einen Link a-la ftp://user:passwort@servername.dyndns.org/ zu geben, den er einfach mit Internet Explorer öffnen kann, ohne ihm stundenlang erklären zu müssen, welche FTP-Clients SFTP unterstützen und wie sie einzurichten sind.

Gruß

Robert

[thE_29]

So, da der User scheinbar noch immer meint er könne meinen FTP Server auch hacken, schreibe ich mir gerade ein Programm für den vsftpd Server!

Also ein Programm das den VSFTPD Log auslesen kann und den Benutzer nach der IP sperrt.

Nachtrag: So Programm ist fertig! Funktioniert nach 2 Tests von meinen Freunden eigentlich Tip Top! Warte nur noch ob die BanAufhebung auch zu 100% klappt und dann release ich es

[akbor]

So, jetzt wird die Ban-List bei dir automatisch aktualisiert. Das ist super! Denk' bloss an meine Worte und speichere sie nicht im Flash

Gru&#223;

Robert

[thE_29]

Naja, er merkt sich ja nix!
Es liegt im /opt Verzeichnis und von daher sollte nix im Flash sein!
Auto unban funktioniert auch.

Hier der Link: ftp://ipkg:ipkg@the29.ath.cx/vsftpd_banner_thE29.ipk

Installiert die Datei vsftpd_banner nach /opt/bin/

einfach mal vsftpd_banner --help ausführen, dann werden die Parameter ausgelistet!
Und mit vsftpd_banner -lf:/opt/var/log/banvsftpd.log & starten
Dann werden die Aktionen nach /opt/var/log/banvsftpd.log geloggt.

Defaultmäßig greift er auf die /opt/var/log/vsftpd.log Datei zu.
Nach 3 Fehlschlägen sperrt er die IP für 10 Minuten. Er sieht alle 2.5 Sekunden im Logfile nach Änderungen nach.
Achja, er springt beim Start ans Ende von der Logdatei und erst ab dann wertet er falsche Loginversuche aus.

Btw.: Der Hauptunterschied ist ja, dass es sich jetzt um ein C++ Programm handelt und um kein Script mehr.

Sehr gut funktionierts! Auszug aus meiner Logdatei

Mon Sep 15 20:54:02 2008: Failed login attempt: Mon Sep 15 20:54:02 2008 [pid 6512] [Administrator] FAIL LOGIN: Client "208.87.24.229"
Mon Sep 15 20:54:02 2008: New Fail user registered: Administrator IP: 208.87.24.229
Mon Sep 15 20:54:04 2008: Failed login attempt: Mon Sep 15 20:54:03 2008 [pid 6512] [Administrator] FAIL LOGIN: Client "208.87.24.229"
Mon Sep 15 20:54:04 2008: Found user: Administrator with IP: 208.87.24.229 and error cnt 1 in list!
Mon Sep 15 20:54:04 2008: Raise user error count(2): 208.87.24.229[Administrator]
Mon Sep 15 20:54:04 2008: Failed login attempt: Mon Sep 15 20:54:04 2008 [pid 6512] [Administrator] FAIL LOGIN: Client "208.87.24.229"
Mon Sep 15 20:54:04 2008: Found user: Administrator with IP: 208.87.24.229 and error cnt 2 in list!
Mon Sep 15 20:54:04 2008: Raise user error count(3): 208.87.24.229[Administrator]
Mon Sep 15 20:54:04 2008: BAN this ass with IP: 208.87.24.229
Mon Sep 15 21:04:05 2008: UNBAN user (Administrator) with IP: 208.87.24.229

[wengi]

Mon Sep 15 20:54:04 2008: BAN this ass with IP: 208.87.24.229

Ich bin gerade am überlegen, ob es Sinn macht dieses Script auf andere Dienste auszudehnen.
Prinzipiell könnte man jeden Dienst, der das ins Syslog schreibt, mit aufnehmen.

wengi