Versuche den FTP-Server zu "hacken" und DynDNS

[akbor]

Hi,

mir ist etwas merkwürdiges aufgefallen. Ich gehe davon aus, dass alle von Euch, die einen über WAN sichtbaren FTP-Server betreiben, öfters mal irgendwelche nicht authorisierte Login-Versuche von extern im System-Log sehen. Bei mir wird ganz oft (bruteforce) versucht, sich als "Administrator" einzuloggen. Gut, dass ich so einen FTP-Usernamen überhaupt nicht vergeben habe

Jetzt zu meiner Beobachtung. Diese Versuche häufen sich, nachdem ich z.B. selber über DynDNS auf meinen FTP authorisiert zugegriffen habe. Spinne ich jetzt? Bin ich paranoid, oder ist da jemand am Sniffen? Ich war früher der Meinung, dass diese Angriffe aus zufälligen Port-Scans resultieren. Wenn jemand den Traffic von DynDNS snifft, dann frage ich mich, warum sind alle Login-Versuche so dämlich erfolglos? Es wird ja alles im Klartext übertragen, soweit ich weiss, der Username wie das Passwort.

Was könnt Ihr zu dem Thema berichten?

Gruß

Robert

[newbiefan]

Hallo Akbor!

Alles absolut richtig - Dyndns ist mild ausgedrückt ein Scheunentor - wenn ich meinen FTP-Server einige Tage laufen lasse, habe ich tausende von Einträgen in den Log-Files. Aber die Versuche sind eher stümperhaft geblieben, und da ich nur sehr gute Passwörter und gute User benutze (immer mit etlichen Nummern usw.) werden die Versuche wohl auch das bleiben was sie sind - stümperhafte Versuche. Lästig ist es allemal, man könnte ja Logfiles auswerten und dann die IP sperren, dazu gibt es schon etliche Beiträge. Mir ist das noch zuviel Aufwand, solange meine Bandbreite nicht darunter leidet, sollen diese Deppen doch tippen wie die Irren - ein brauchbares Programm haben die noch nicht, manchmal dauert es mehrere Sekunden bis ein neuer Versuch erfolgt.
Ganz schlimm wird es, wenn man VPN hat, deshalb habe ich nur mehr FTP und Web laufen. Ist ausserdem wesentlich schneller.....

Schönen Sonntag noch.....

[legolas]

Hi,

was meinst Du damit "ganz schlimm wird es wenn man VPN hat"? Was passiert denn dann genau?

Ich konnte bei mir noch nichts feststellen, verwende jedoch nicht den Standard-Port.

Norbert

[thE_29]

Diesen Administrator bruteforce hatte ich auch vor ein paar Tage!
Habe mir dann ein gloabl_ban Script geschrieben

Alle Scripte liegen in /usr/local/sbin

commit:

#!/bin/sh
flashfs save && flashfs commit && flashfs enable

chmod +x commit

global_ban_ip:

#!/bin/sh
if [ -z $1 ] ; then
echo "Usage: $0 IP_to_ban"
else
iptables -I INPUT -p tcp -s $1 -j DROP
echo $1 >> /usr/local/sbin/.global_ban_file
/usr/local/sbin/commit > /dev/null 2>&1 &
fi

chmod +x global_ban_ip

unglobal_ban_ip:

#!/bin/sh
if [ -z $1 ] ; then
echo "Usage: $0 IP_to_unban"
else
iptables -D INPUT -p tcp -s $1 -j DROP
cat /usr/local/sbin/.global_ban_file | grep -v $1 >> /tmp/.global_ban_file
mv /tmp/.global_ban_file /usr/local/sbin
/usr/local/sbin/commit > /dev/null 2>&1 &
fi

chmod +x unglobal_ban_ip

.addGlobalBans:

#!/bin/sh
while read X
do
iptables -I INPUT -p tcp -s $X -j DROP
done < /usr/local/sbin/.global_ban_file

chmod +x .addGlobalBans

Am Ende von post-firewall gehört noch das dazu.
post-firewall:

.... # Inhalt deiner post-firewall
/usr/local/sbin/.addGlobalBans

Also wenn du in den LOG das siehst, dass dich jemand beim FTP angreift, bist du ja wahrscheinlich mit ssh/telnet drauf (Ansonsten wirds schwierig für dich).
Danach sagste einfach global_ban_ip und gibst die IP ein
diese wird ganz vorne auf die regel drop gestellt, dh, es verwirft jede Anfrage von dieser IP.
Der Befehl global_ban_ip added die IP zu den Firewall regeln und speichert es in die .global_ban_file und führt ein commit == speichern des /usr/local/sbin Verzeichnisses (und mehr) aus.

Das Script/Befehl unglobal_ban_ip remoed die IP von der Firewall und auch aus der Datei (falls vorhanden) und commited auch.

Nach einem reboot wird die post-firewall ausgeführt, deren letzter Befehl auf .addGlobalBans zeigt und dieser liest die datei .global_ban_file aus und setzt diese IPs auf DROP ANY, sodaß auch nach einem Reboot die IPs gebannt bleiben.

Das ist halt meine Lösung
Wenn man sich mit ssh/telnet nicht so auskennt, bräuchte man ein besseres HowTO und maybe eine grafische Lösung (man kann die GUI ja übermounten )
Für mich reicht diese Lösung aber.

[akbor]

...man könnte ja Logfiles auswerten und dann die IP sperren,...

da bist du aber lange besch&#228;ftigt eine Black-List n&#252;tzt an der Stelle nicht viel, es gibt einfach zu viele IP-Adressen, die der Angreifer benutzen kann. Vern&#252;nftig w&#228;re ein Script, das z.B. nach dem dritten Fehlversuch eine einst&#252;ndige Sperre reinhaut. Damit w&#228;re ein Bruteforce-Angriff unm&#246;glich. Noch vern&#252;nftiger w&#228;re eine White-List, du schaltest bestimmte IP-Adressen frei, bei DSL/DHCP von mir aus den ganzen Pool/Subnet.

Wie gesagt, ich habe das Gef&#252;hl, dass sich die Versuche h&#228;ufen, nachdem ich meinen FTP-Server mal selber benutzt habe. Das riecht mir nach einem Sniffer, entwerder bei meinem ISP oder bei DynDNS ("man in the middle" in meinem LAN gibt es garantiert nicht). In diesem Fall m&#252;ssten aber die Anmeldeversuche erfolgreich sein, oder der Sniffer ist eine absolute Pappnase. Das ist es, was ich nicht zusamenreimen kann.

Gru&#223;

Robert

[newbiefan]

@the_29
nicht schlecht, wenn es noch mehr werden, werde ich mir deine Scripts leihen und einfach alles automatisieren - zumindest für einige Minuten sperren....

Geht aber bei mir etwas anders als wie in den einschlägigen tuts beschrieben, da ja mein Asus hinter dem Dlink hängt.

@legolas
habe das sehr gute http://www.administrator.de/Fernzugr...kostenlos.html benutzt, aber eben nur auf Port22, kurz danach hatte ich enorme Mengen an Portscans inkl. ebenfalls stümperhafte Versuche, auf mein Netzwerk zuzugreifen. Jedenfalls war mein Webserver u. FTP auf Grund der massiven Scans kaum zu erreichen - bis hin zu DOS Attacken über den Webserver. Ich konnte zeitweilig nicht mal ins Internet.

@Akbor
Eine Blacklist hilft schon, man muss nur die jeweilige IP für etliche Minuten sperren. Ist aber ja genau was du auch meinst.....

Dass hier Sniffer unterwegs sind, glaube ich fast nicht, eher dass die Adressen von Dyndns leicht "erhältlich" sind. Wenn jemand wirklich gut sniffen kann und dabei auch noch deinen Namen "ersnifft", dann verwendet dieser ja eine Datenbank mit allen möglichen (gängigen) Usern und Passwörter. Das ginge dann wesentlich schneller und einfacher.
Also habe die halt nur deinen Namen, denn diese Dilletanten schaffen es ja nicht einmal mittels Ping MeinName meine IP zu holen, die verwenden doch glatt immer wieder meinen Namen!!!

LG

Ach ja, Sniffer aus dem Profibereich gibts ja schon lange:
http://de.wikipedia.org/wiki/Carnivore
http://www.dradio.de/dlf/sendungen/h...olitik/643770/
http://www.abendblatt.de/daten/2008/06/20/896285.html

[akbor]

@the_29

ich gebe es gleich zu, ich habe mich mit deinen Scripten noch nicht sehr intensiv auseinander gesetzt. Habe aber gleich ein Bedenken, du scheinst deine Ban-List im Flash zu speichern. Es w&#228;re sehr ratsam, sie im RAM zu halten! Ich weiss nicht, wie es bei den Asus-Ger&#228;ten mit Wear Leveling verh&#228;lt, vermutlich gibt es so etwas nicht, wozu auch. Wenn irgendein Idiot dein Script dazu n&#246;tigt, die Ban-List 100.000 Male zu aktualisieren, dann war's das mit dem Flash.

Gru&#223;

Robert

[thE_29]

Wie meinst du, er will sie öfter aktualisieren?

Und wenn man per ssh/telnet auf dem Teil ist, hoffe ich doch schon, dass man sich auskenn