Ich meine, die "Googlecode-Firmware" hat den Schutz gegen Bruteforce jetzt sogar integriert.
Gruß
Robert
Hallo,
gibts mitlerweile ein Programm, um diese dämlichen idioten auszusperren?!
Ich hab mir gerade mal mein Logfile angeschaut.
6MB gespickt mit diesen blöden Angriffen. Und das in 1 Woche!
Irgendwie nervt das total!
Gruß wolder
Ich meine, die "Googlecode-Firmware" hat den Schutz gegen Bruteforce jetzt sogar integriert.
Gruß
Robert
ISP: TV Cable 50/5 Mbit
Modem: Arris Touchstone TM822S
"NAS": 1000 GB 2.5" HDD, EXT4, (USB @ RT-AC87U)
Router: Asus RT-AC87U 380.68 (Merlin build), vsftpd, Samba3, NFS, Transmission, PyLoad...)
Clients: mittlerweile unzählige...
Ich hab aktuell die:
WL500gpv2-1.9.2.7-d-r566.trx
Version drauf.
gibts da irgendwie die Möglichkeit das zu aktivieren?
Muß ich irgendwas beachten?
Gruß wolder
Es gibt sogar eine ganz einfache Möglichkeit, aber die Lösung bedingt einen Start von vsftpd aus der Post-mount. Inder vsftpd.conf einfach folgenden Eintrag hinzu fügen: max_login_fails=20
Dann muss ein falscher Login 20 Sekunden warten. Das hat noch jedem Hacker die Lust vertrieben.
Zur Vorgangsweise siehe Alle HowTos, vsftpd/Fileserver. Du kannst alles weg lassen, lediglich die normalen Einträge (gleich wie bei built in) kopieren und in der .files speichern.
Nach dem flashfs save
flashfs commit
flashfs enable
reboot
startet der vsftpd ohne im Webinterface enabled zu sein.
Dieser Schutz ist super!
Eine weitere Möglichkeit mit ipt_recent ist bereits eingebaut. Leider bin ich nicht am Router, deshalb kann ich vorerst nicht nachsehen - geht mit Sicherheit im Webif.
Am Abend kann ich dir mehr sagen...
LG
newbiefan
Alle HowTo's, all howto's
RT-N16 1.9.2.7-rtn-r3121, Samba, VSFTP, Lightthpd, PHP, Perl, MySQL, Serendipity, Aria2web, HDD 640GB
RT-N66U, 16GB MicroSD/ 2 Partitions, 2,5" HDD 1TB, running with Merlin's FW and Entware, 16 Mbit A1,
Netgear DGND 3700V2, QNAP TS119PII 4 TB, QNAP TS209 2 TB Raid1, Backup Synology DS107+ 1 TB, HP CP1515n
Hallo zusammen,
richtig!max_login_fails=20
Schöner finde ich die Lösung über xinetd:Code:bedingt einen Start von vsftpd aus der Post-mount
Script sieht so aus:
Ich steh halt auf xinetdCode:service ftp { disable = no socket_type = stream user = admin server = /opt/sbin/vsftpd server_args = /opt/etc/vsftpd.conf wait = no nice = 10 only_from = 0.0.0.0/0 }
Software soll nur dann laufen wenn Sie benötigt wird
Regards / Grüße,
Oliver
[How-To] Sane Scanner-Server mit XSane Frontend "german"
[How-To] Sane Scanner-Server with XSane Frontend "english"
Router: Wl500gP v1 nach Wengi's HowTo mit FW 1.9.2.7-d-r599
Speicher: Trekstor DataStation maxi 1 Tb
Clients: Kathrein UFS910 FullHD Sat Receiver, PS3, PCs, Canon MP830 an Sane Scanner-Server, Kyocera-Mita FS1020D über Printserver
Klar Oliver, wenn xinetd läuft, ist es besser!
Jedoch nur, wenn mehrere Server über xinetd gestartet werden, denn xinetd braucht ja auch Platz.
Ansonsten könnte man nachsehen, was mehr Speicher frisst, xinetd oder vsftpd. Ja und nachsehen müsste man auch was passiert, wenn keine ftp Verbindung mehr steht - soweit ich weiss beendet xinetd dann vsftpd nicht mehr, was heissen würde der Platzbedarf wird grösser als vorher.
Aber bei seltenen FTP Verbindungen, bzw, wenn selten alle Server benutzt werden, hast du natürlich recht - dann ist xinetd das Maß der Dinge.
Viel Spass
Newbiefan
Alle HowTo's, all howto's
RT-N16 1.9.2.7-rtn-r3121, Samba, VSFTP, Lightthpd, PHP, Perl, MySQL, Serendipity, Aria2web, HDD 640GB
RT-N66U, 16GB MicroSD/ 2 Partitions, 2,5" HDD 1TB, running with Merlin's FW and Entware, 16 Mbit A1,
Netgear DGND 3700V2, QNAP TS119PII 4 TB, QNAP TS209 2 TB Raid1, Backup Synology DS107+ 1 TB, HP CP1515n
Hallo,
Ich hab jetzt das avbf von Newbiefan installiert und max_login_fails=20 in der config eingetragen.
Heute über Tag war es relativ ruhig. heute abend gings jetzt wieder los!
usw.Oct 27 17:07:31 dropbear[1284]: login attempt for nonexistent user from 201.33.229.246:53313
Oct 27 17:07:31 dropbear[1284]: exit before auth: Disconnect received
Oct 27 17:07:35 dropbear[1285]: login attempt for nonexistent user from 201.33.229.246:53733
Oct 27 17:07:35 dropbear[1285]: exit before auth: Disconnect received
Oct 27 17:07:38 dropbear[1286]: login attempt for nonexistent user from 201.33.229.246:54097
Oct 27 17:07:39 dropbear[1286]: exit before auth: Disconnect received
Oct 27 17:07:43 dropbear[1287]: login attempt for nonexistent user from 201.33.229.246:54544
Oct 27 17:07:44 dropbear[1287]: exit before auth: Disconnect received
Oct 27 17:07:47 dropbear[1288]: login attempt for nonexistent user from 201.33.229.246:55039
Oct 27 17:07:48 dropbear[1288]: exit before auth: Disconnect received
Oct 27 17:07:54 dropbear[1289]: login attempt for nonexistent user from 201.33.229.246:55421
Oct 27 17:07:55 dropbear[1289]: exit before auth: Disconnect received
Oct 27 17:07:59 dropbear[1290]: login attempt for nonexistent user from 201.33.229.246:56159
Oct 27 17:08:00 dropbear[1290]: exit before auth: Disconnect received
Oct 27 17:08:03 dropbear[1291]: login attempt for nonexistent user from 201.33.229.246:56667
.....
was kann ich noch tun?!
Mir geht das ganz schön auf den s...
Das dumme ist nur, dass ich absoluter Anfänger bin...
Gruß wolder
Warte kurz, stelle dir meine Sperrliste hier hinein, die brauchst du nur nach /opt/etc/hosts.deny kopieren. Avbf liest genau diese Liste ein.
Die Liste habe ich in monatelanger Arbeit zusammen gestellt und jeden Angriff dokumentiert. Letztendlich habe ich alle Laender aus dem APNIC (Asia-Pacific Region) sperren muessen, sowie ein paar kleinere Netze aus verschiedenen Laendern. Falls du einen Webserver usw. betreibst, unbedingt eine Robots Datei anlegen und alle Suchmaschinen verbieten.
Wie startest du avbf (und ev. checklog)?
Irgend etwas stimmt nicht mit deiner avbf, denn mehr als 3 Angriffe von einer IP sind nicht moeglich!
Uebrigens: Mache unbedingt den Port 22 zu, ich vermute, du startest avbf und loescht deine Firewall - also nimm einmal den Start von avbf heraus, ich schreibe dir avbf um.
Benutzt du den Router als reines Gateway/Router?
Kannst du einmal die Ausgabe von iptables -n -L posten? Falls die Ausgabe zu lang wird, leite die Ausgabe in eine Datei und poste diese.
iptables -n -L > /tmp/mnt/ipt.txt (Alles steht dann in der Datei /tmp/mnt/ipt.txt)
Bis gleich....
LG
Newbiefan
Last edited by newbiefan; 27-10-2009 at 19:38.
Alle HowTo's, all howto's
RT-N16 1.9.2.7-rtn-r3121, Samba, VSFTP, Lightthpd, PHP, Perl, MySQL, Serendipity, Aria2web, HDD 640GB
RT-N66U, 16GB MicroSD/ 2 Partitions, 2,5" HDD 1TB, running with Merlin's FW and Entware, 16 Mbit A1,
Netgear DGND 3700V2, QNAP TS119PII 4 TB, QNAP TS209 2 TB Raid1, Backup Synology DS107+ 1 TB, HP CP1515n
Ich hab gerade gesehen, dass ich avbf nicht richtig gestartet habe.
Ich hatte es heute mittag in die post-mount geschrieben. jetzt hab ich gerade nachgeschaut und es war wohl nicht gespeichert.
checklog hab ich nicht mitgemacht. Ist das wichtig. wo anders hast du geschrieben, dass das nicht mehr so wichtig sei.
Sorry.
Ich muß aufhören. Die gute Seele des hauses kommt nach hause.
Ich meld mich morgen früh wieder!
Danke
und Gruß
Wolder
Hi,
das sind die Einstellungsmöglichkeiten im Webinterface der Googlecode-FW.
Doch eigentlich genau das, was du haben willst. Ist quasi geschenkt.
Gruß
Robert
ISP: TV Cable 50/5 Mbit
Modem: Arris Touchstone TM822S
"NAS": 1000 GB 2.5" HDD, EXT4, (USB @ RT-AC87U)
Router: Asus RT-AC87U 380.68 (Merlin build), vsftpd, Samba3, NFS, Transmission, PyLoad...)
Clients: mittlerweile unzählige...
Hallo newbiefan,
mein Router ist im AP-Mode.
Vermutlich sehe ich deshalb auch nicht das Menü von Akbor oder ich hab doch eine ältere Version installiert.
Hier mal die ausgabe von iptables -n -L
Last edited by wolder; 27-10-2009 at 20:33.
Danke, soweit ich bis jetzt sehen kann, fehlt die komplette brute Chain, da steht nichts mehr drinnen......
Ich poste den Script nochmals, angepasst auf den Betrieb ohne checklog.
Den kannst du 1 zu 1 uebernehmen. Weiters bekommst du die neue hosts.deny -Liste.
Diese speicherst du in /opt/etc/hosts.deny und startest danach avbf.
Du brauchst keinen Cron Eintrag mehr vorzunehmen, falls du einen erstellt hast (fuer checklog), bitte entfernen.
Stelle den Aufruf fuer avbf beim Booten in die post-mount vor der Zeile mit dem rc.unslung
Kontrolliere einmal pro Woche mit iptables -nv -L wieviele Zugriffe aus welchem Netz gekommen sind.
Kommen zu viele durch, erweitere deine /opt/etc/hosts.deny einfach um diese ip
Das machst du so: z.Bspl. 214.22.14.87 kommt oefter durch (nicht wegen einmal),
dann fuegst du hinzu 214.22.0.0/16
Kommt immer noch etwas aus dem 214 er Netz, einfach 214.0.0.0/8 in die hosts.deny einfuegen.
Vergiss nicht, avbf danach neu zu starten.
Deine Eintraege sind fuer port22, dropbear. Falls du den ssh Zugang nicht brauchst, Port 22 sperren.
Eventuell wird ipt_recent nicht geladen, bitte noch die Ausgabe von "lsmod" , da muss ipt_recent drinnen stehen.
LG
Newbiefan
Im Anhang der neue avbf und die neue, aktuelle hosts.deny Liste, genau so wie ich sie verwende.
Alle HowTo's, all howto's
RT-N16 1.9.2.7-rtn-r3121, Samba, VSFTP, Lightthpd, PHP, Perl, MySQL, Serendipity, Aria2web, HDD 640GB
RT-N66U, 16GB MicroSD/ 2 Partitions, 2,5" HDD 1TB, running with Merlin's FW and Entware, 16 Mbit A1,
Netgear DGND 3700V2, QNAP TS119PII 4 TB, QNAP TS209 2 TB Raid1, Backup Synology DS107+ 1 TB, HP CP1515n
Vielen Dank.
Ich brauch den port 22, da ich auf der Arbeit mehr Zeit hab mit dem Router zu spielen als zu hause.
Leider hab ich heute morgen das Problem, dass ich gar nicht mehr auf den Router komme....
Kann aber auch an die Verbindung zur Fritzbox liegen.
Zur not muss ich heute abend mal dran, wenn die gute Seele mitspielt!
avbf muss in der post-mount vor rc.unslug?!
Ok, das muss ich noch ändern.
Ich meld mich wieder!
Gruß wolder
Hi,
Das ist mal ne klasse Aussage LOLIch brauch den port 22, da ich auf der Arbeit mehr Zeit hab mit dem Router zu spielen als zu hause.
Frohes Schaffen!
Regards / Grüße,
Oliver
[How-To] Sane Scanner-Server mit XSane Frontend "german"
[How-To] Sane Scanner-Server with XSane Frontend "english"
Router: Wl500gP v1 nach Wengi's HowTo mit FW 1.9.2.7-d-r599
Speicher: Trekstor DataStation maxi 1 Tb
Clients: Kathrein UFS910 FullHD Sat Receiver, PS3, PCs, Canon MP830 an Sane Scanner-Server, Kyocera-Mita FS1020D über Printserver
Danke!