PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : FTP einschraenken



pibi
20.01.08, 16:11
Hoi zaeme

Ich betreibe hier zwei private Server am Internet mit div. installierten Diensten. So laeuft u.a. auch der vsftp als FTP-Server (v2.0.5). Soweit so gut.

Nun habe ich in letzter Zeit vermehrt fetsgestellt, dass meine Server gehackt werden sollen. Zum Teil ueber mehr als 2 Stunden werden pausenlos ueber irgendwelche Scripts alle moeglichen Usernamen ausprobiert. Meine erste Massnahme: Ueber iptables eine Rule definieren, dass pro Minute nur ein Connect initiiert werden darf. Klappt auch wunderbar, nur leider laufen obige Hackversuche alle ueber den gleichen einmalig am Anfang hergestellten Connect (wahrscheinlich "open hostname...."). Also kein Effekt.

Meine Frage: Wie kann ich solche Script-Kiddies ausschalten, die mir ueber Stunden sinnlosen Traffic bescheren? So steht zB. hier (http://vsftpd.beasts.org/#about):
configurable login attempt limits and delays were added; a bad intereaction with DMAPI filesystems was fixed and chained certs should now work.Aber irgendwie finde ich diesen Parameter nicht... Wie loest Ihr dieses Problem?

Gruss Pit.

marce
20.01.08, 16:46
evtl. suchst Du fail2ban.

(ist aber nicht die allein seligmachende Lösung, birgt auch Gefahren...)

pibi
20.01.08, 17:25
evtl. suchst Du fail2ban.
(ist aber nicht die allein seligmachende Lösung, birgt auch Gefahren...)Hoi Marce

Davon hatte ich auch schon gelesen. Aber wie Du selber sagst, mir ist auch nicht ganz wohl dabei. Dynamische Anpassung der iptables? Hmmmm....

Viel einfacher waere doch ein Handling in der eigentlichen Software (vsftp) selber. Das muss es doch einfach geben, oder?

Gruss Pit.

Jigsore
20.01.08, 17:34
Du kannst mit Sessions arbeiten, hier dann im Zusamenhang mit "max_login_fails".
Daraufhin wird die Session gelöscht und Du könntest eventuell weitere Maßnahmen mit z.B. fail2ban ergreifen.

marce
20.01.08, 17:56
port-knocking wäre auch noch eine Alternative. Oder einfach den Dienst nur starten, wenn benötigt.

Ansonsten - wenn die PW gut sind würde ich mir keine größeren Sorgen machen (solange Du den Dienst jedenfalls sicher konfiguriert hast...)

BedriddenTech
20.01.08, 20:03
Guck dir doch mal Shimmer (http://shimmer.sourceforge.net/) an, wenns kein öffentlicher Dienst sein muß. :) Andernfalls könnten vielleicht die Optionen des tcpservers (auf http://cr.yp.to in der ucspi-tcp-Suite zu finden) helfen; der funktioniert ähnlich wie der Inetd.

Herr Kommisar
21.01.08, 15:20
nimm doch einfach einen anderen Port für den FTP Server
und am besten schön in der Mitte

Bsp: Port 36491

die Programme der Kidies nehmen in der Regel nur Standardports


wer scannt schon alle Ports auf deinem Rechner

marce
21.01.08, 19:10
wobei man "Ruhe im Logfile" nicht mit "Sicherheit" verwechseln darf...

pibi
21.01.08, 21:54
Du kannst mit Sessions arbeiten, hier dann im Zusamenhang mit "max_login_fails".
Daraufhin wird die Session gelöscht und Du könntest eventuell weitere Maßnahmen mit z.B. fail2ban ergreifen.Danke, das ist der entscheidende Tip. Aus irgendwelchen Gruenden sind in dem Sample-Config zu meinem vsftp alle diese schoenen Optionen nicht aufgefuehrt. Irgendwie funktioniert es jetzt, allerdings immer nur nach zwei Fehlversuchen wird die Session gekillt, egal was in der Config steht.

Danach schlaegt die Firewall zu und verlangt eine Wartezeit von einer Minute bis zum naechsten moeglichen Connect.

Gruss Pit.

PS: Danke auch allen anderen Tip-Gebern, deren Ideen ich weder beruecksichtigt noch beantwortet habe;-)

-=Miko=-
22.01.08, 22:48
Naja das sind meist keine Script Kiddies sondern professionelle Spammer die ihre Scripte loslassen.

Irgendjemandem einen Connect verbieten bringt nicht wirklich Sicherheit mehr sondern eher etwas mehr Ruhe im Logfile.

Meine Server und meine ehemaligen waren regelmäßig das Ziel von Angriffen auf SSH, FTP und E-mail. Sofern alle PWs gesetzt sind passiert eigentlich nichts da meist nur auf Sicherheitslücken, fehlende PWs und offene Dienste geprüft wird.

Sorgen brauchst du dir bei einem richtig Konfigurierten Server also nicht machen.