Versuche den FTP-Server zu "hacken" und DynDNS

[wolder]

Hallo,

gibts mitlerweile ein Programm, um diese dämlichen idioten auszusperren?!
Ich hab mir gerade mal mein Logfile angeschaut.
6MB gespickt mit diesen blöden Angriffen. Und das in 1 Woche!

Irgendwie nervt das total!

Gruß wolder

[akbor]

Ich meine, die "Googlecode-Firmware" hat den Schutz gegen Bruteforce jetzt sogar integriert.

Gruß

Robert

[wolder]

Ich hab aktuell die:
WL500gpv2-1.9.2.7-d-r566.trx
Version drauf.

gibts da irgendwie die Möglichkeit das zu aktivieren?
Muß ich irgendwas beachten?
Gruß wolder

[newbiefan]

Es gibt sogar eine ganz einfache Möglichkeit, aber die Lösung bedingt einen Start von vsftpd aus der Post-mount. Inder vsftpd.conf einfach folgenden Eintrag hinzu fügen: max_login_fails=20
Dann muss ein falscher Login 20 Sekunden warten. Das hat noch jedem Hacker die Lust vertrieben.
Zur Vorgangsweise siehe Alle HowTos, vsftpd/Fileserver. Du kannst alles weg lassen, lediglich die normalen Einträge (gleich wie bei built in) kopieren und in der .files speichern.
Nach dem flashfs save
flashfs commit
flashfs enable
reboot
startet der vsftpd ohne im Webinterface enabled zu sein.
Dieser Schutz ist super!

Eine weitere Möglichkeit mit ipt_recent ist bereits eingebaut. Leider bin ich nicht am Router, deshalb kann ich vorerst nicht nachsehen - geht mit Sicherheit im Webif.
Am Abend kann ich dir mehr sagen...
LG
newbiefan

[carterb]

Hallo zusammen,

max_login_fails=20

richtig!

Code:

bedingt einen Start von vsftpd aus der Post-mount

Schöner finde ich die Lösung über xinetd:
Script sieht so aus:

Code:

service ftp
{
disable = no
socket_type = stream
user = admin
server = /opt/sbin/vsftpd
server_args = /opt/etc/vsftpd.conf
wait = no
nice = 10
only_from = 0.0.0.0/0
}

Ich steh halt auf xinetd
Software soll nur dann laufen wenn Sie benötigt wird

[newbiefan]

Klar Oliver, wenn xinetd läuft, ist es besser!
Jedoch nur, wenn mehrere Server über xinetd gestartet werden, denn xinetd braucht ja auch Platz.
Ansonsten könnte man nachsehen, was mehr Speicher frisst, xinetd oder vsftpd. Ja und nachsehen müsste man auch was passiert, wenn keine ftp Verbindung mehr steht - soweit ich weiss beendet xinetd dann vsftpd nicht mehr, was heissen würde der Platzbedarf wird grösser als vorher.

Aber bei seltenen FTP Verbindungen, bzw, wenn selten alle Server benutzt werden, hast du natürlich recht - dann ist xinetd das Maß der Dinge.
Viel Spass
Newbiefan

[wolder]

Hallo,

Ich hab jetzt das avbf von Newbiefan installiert und max_login_fails=20 in der config eingetragen.

Heute über Tag war es relativ ruhig. heute abend gings jetzt wieder los!

Oct 27 17:07:31 dropbear[1284]: login attempt for nonexistent user from 201.33.229.246:53313
Oct 27 17:07:31 dropbear[1284]: exit before auth: Disconnect received
Oct 27 17:07:35 dropbear[1285]: login attempt for nonexistent user from 201.33.229.246:53733
Oct 27 17:07:35 dropbear[1285]: exit before auth: Disconnect received
Oct 27 17:07:38 dropbear[1286]: login attempt for nonexistent user from 201.33.229.246:54097
Oct 27 17:07:39 dropbear[1286]: exit before auth: Disconnect received
Oct 27 17:07:43 dropbear[1287]: login attempt for nonexistent user from 201.33.229.246:54544
Oct 27 17:07:44 dropbear[1287]: exit before auth: Disconnect received
Oct 27 17:07:47 dropbear[1288]: login attempt for nonexistent user from 201.33.229.246:55039
Oct 27 17:07:48 dropbear[1288]: exit before auth: Disconnect received
Oct 27 17:07:54 dropbear[1289]: login attempt for nonexistent user from 201.33.229.246:55421
Oct 27 17:07:55 dropbear[1289]: exit before auth: Disconnect received
Oct 27 17:07:59 dropbear[1290]: login attempt for nonexistent user from 201.33.229.246:56159
Oct 27 17:08:00 dropbear[1290]: exit before auth: Disconnect received
Oct 27 17:08:03 dropbear[1291]: login attempt for nonexistent user from 201.33.229.246:56667
.....

usw.
was kann ich noch tun?!
Mir geht das ganz schön auf den s...

Das dumme ist nur, dass ich absoluter Anfänger bin...

Gruß wolder

[newbiefan]

Hallo,

Ich hab jetzt das avbf von Newbiefan installiert und max_login_fails=20 in der config eingetragen.

Heute über Tag war es relativ ruhig. heute abend gings jetzt wieder los!



usw.
was kann ich noch tun?!
Mir geht das ganz schön auf den s...

Das dumme ist nur, dass ich absoluter Anfänger bin...

Gruß wolder

Warte kurz, stelle dir meine Sperrliste hier hinein, die brauchst du nur nach /opt/etc/hosts.deny kopieren. Avbf liest genau diese Liste ein.
Die Liste habe ich in monatelanger Arbeit zusammen gestellt und jeden Angriff dokumentiert. Letztendlich habe ich alle Laender aus dem APNIC (Asia-Pacific Region) sperren muessen, sowie ein paar kleinere Netze aus verschiedenen Laendern. Falls du einen Webserver usw. betreibst, unbedingt eine Robots Datei anlegen und alle Suchmaschinen verbieten.
Wie startest du avbf (und ev. checklog)?
Irgend etwas stimmt nicht mit deiner avbf, denn mehr als 3 Angriffe von einer IP sind nicht moeglich!
Uebrigens: Mache unbedingt den Port 22 zu, ich vermute, du startest avbf und loescht deine Firewall - also nimm einmal den Start von avbf heraus, ich schreibe dir avbf um.
Benutzt du den Router als reines Gateway/Router?
Kannst du einmal die Ausgabe von iptables -n -L posten? Falls die Ausgabe zu lang wird, leite die Ausgabe in eine Datei und poste diese.
iptables -n -L > /tmp/mnt/ipt.txt (Alles steht dann in der Datei /tmp/mnt/ipt.txt)
Bis gleich....
LG
Newbiefan

[wolder]

Ich hab gerade gesehen, dass ich avbf nicht richtig gestartet habe.
Ich hatte es heute mittag in die post-mount geschrieben. jetzt hab ich gerade nachgeschaut und es war wohl nicht gespeichert.

checklog hab ich nicht mitgemacht. Ist das wichtig. wo anders hast du geschrieben, dass das nicht mehr so wichtig sei.

Sorry.
Ich muß aufhören. Die gute Seele des hauses kommt nach hause.
Ich meld mich morgen früh wieder!

Danke
und Gruß
Wolder

[akbor]

Hi,

das sind die Einstellungsmöglichkeiten im Webinterface der Googlecode-FW.



Doch eigentlich genau das, was du haben willst. Ist quasi geschenkt.

Gruß

Robert

[wolder]

Hallo newbiefan,

mein Router ist im AP-Mode.
Vermutlich sehe ich deshalb auch nicht das Menü von Akbor oder ich hab doch eine ältere Version installiert.

Hier mal die ausgabe von iptables -n -L

[newbiefan]

Hallo newbiefan,

mein Router ist im AP-Mode.
Vermutlich sehe ich deshalb auch nicht das Menü von Akbor oder ich hab doch eine ältere Version installiert.

Hier mal die ausgabe von iptables -n -L

Danke, soweit ich bis jetzt sehen kann, fehlt die komplette brute Chain, da steht nichts mehr drinnen......
Ich poste den Script nochmals, angepasst auf den Betrieb ohne checklog.
Den kannst du 1 zu 1 uebernehmen. Weiters bekommst du die neue hosts.deny -Liste.
Diese speicherst du in /opt/etc/hosts.deny und startest danach avbf.
Du brauchst keinen Cron Eintrag mehr vorzunehmen, falls du einen erstellt hast (fuer checklog), bitte entfernen.

Stelle den Aufruf fuer avbf beim Booten in die post-mount vor der Zeile mit dem rc.unslung
Kontrolliere einmal pro Woche mit iptables -nv -L wieviele Zugriffe aus welchem Netz gekommen sind.

Kommen zu viele durch, erweitere deine /opt/etc/hosts.deny einfach um diese ip
Das machst du so: z.Bspl. 214.22.14.87 kommt oefter durch (nicht wegen einmal),
dann fuegst du hinzu 214.22.0.0/16
Kommt immer noch etwas aus dem 214 er Netz, einfach 214.0.0.0/8 in die hosts.deny einfuegen.
Vergiss nicht, avbf danach neu zu starten.
Deine Eintraege sind fuer port22, dropbear. Falls du den ssh Zugang nicht brauchst, Port 22 sperren.

Eventuell wird ipt_recent nicht geladen, bitte noch die Ausgabe von "lsmod" , da muss ipt_recent drinnen stehen.

LG
Newbiefan

Im Anhang der neue avbf und die neue, aktuelle hosts.deny Liste, genau so wie ich sie verwende.

[wolder]

Vielen Dank.

Ich brauch den port 22, da ich auf der Arbeit mehr Zeit hab mit dem Router zu spielen als zu hause.

Leider hab ich heute morgen das Problem, dass ich gar nicht mehr auf den Router komme....
Kann aber auch an die Verbindung zur Fritzbox liegen.
Zur not muss ich heute abend mal dran, wenn die gute Seele mitspielt!
avbf muss in der post-mount vor rc.unslug?!
Ok, das muss ich noch ändern.

Ich meld mich wieder!
Gruß wolder

[carterb]

Hi,

Ich brauch den port 22, da ich auf der Arbeit mehr Zeit hab mit dem Router zu spielen als zu hause.

Das ist mal ne klasse Aussage LOL

Frohes Schaffen!

[wolder]

Danke!