Zum Inhalt springen

ftp intrusion - was tun?


Empfohlene Beiträge

Hallo,

ich habe gestern mal zufällig in die Konsole von meinem FTP Server (FileZilla) geguckt und mir ist aufgefallen, dass von diversen IP's versucht wird sich mit verschiedenen Benutzernamen wie "admin", "administrator", "newuser" etc.. m it verschiedenen Passwörtern einzuwählen.

Glücklicherweise wähle ich 1. sichere Passwörter und verwende 2. keine derartigen Benutzernamen.

Allerdings häuft sich in letzter Zeit die Zahl der Abstürze meines v-Servers und die Performance wird zunehmend schlechter.

Es könnte also in Zusammenhang mit diesen Dictionary-attacks liegen, zumal ich nich weis, welche Dienste ausser dem FTP noch betroffen sind.

Ansonsten läuft noch ein Mailserver (Mercury Mail) und ein Apache 2 Webserver und ein MySQL Datenbankserver (ein komplettes XAMPP-Paket) ausserdem ein Teamspeak 2 Server.

Ich ziehe etwas wie ein "Intrusion detection system" in Betracht, habe allerdings nicht viel Ahnung davon und weis nicht wie diese Programme eingreifen bzw was sie erkennen und was nicht.

Falls das die richtige Lösung wäre: Könnte mir jemand ein IDS für Windows Server 2003 (Enterprise) vorschlagen, oder habt ihr andere Lösungsvorschläge.

Danke schon einmal im vorraus für die Hilfe.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Also als erstes solltest du den ftp-Server auf einen anderen Port als den Standardport 21 legen (irgendwas über 1024 am besten). Dann die anderen Dienste, die auch Angriffspunkte sein sollten, sperren falls sie nicht benötigt werden, oder evtl auch die Ports umlegen, oder z.B. beim MySQL-Server nur Verbindungen von localhost (127.0.0.1) erlauben.

Kannst du beim FTP-Server keine Einstellung tätigen, dass eine IP beim "hammering" oder bei x fehlgeschlagenen Einloggversuchen auf die Blocking-Lsite kommt, oder kommen die Versuche immer von unterschiedlichen IPs (also distributed attacks)?

Oder muss auf den Server evtl nur aus bestimmten Addressbereichen aus zugegriffen werden, dass du die anderen direkt blocken kannst, wenn eine Anfrage von dort kommt?

Link zu diesem Kommentar
Auf anderen Seiten teilen

Danke für die Tipps.

Ich denke ich werde zumindest einmal den Port umlegen.

Der Tipp mit MySQL ist auch gut, wo stell ich das ein?

Die Attacken sind verteilt also kommen höchstens 2-5 Anfragen von verschiedenen IP Adressen aus allen möglichen Bereichen allerdings immer aus östlicheren Gefilden (hab mal einige IP's im browser eingegeben da kamen Seiten aus Russland, Ukraine, China sogar Kosovo) ...

Link zu diesem Kommentar
Auf anderen Seiten teilen

Zum Thema Blockliste:

Bringt meist nichts, da die IPs sehr häufig wechseln, kann man aber durchaus machen. Grundlegend würde ich aber Dienste wie SSH per iptables dicht machen, dh nur aus privilegierten Netzen. Dann bleibt noch zu überlegen, oder MySQL eventl. nur von dem Apache direkt gebraucht wird. Da könnte man dann auch alle Anfragen außer von localhost sperren, wieder mit iptables.

Ansonsten ist Portumlegen ansich nicht verkehrt und Usernamen fernab vom Standard sind auch immer gut.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Wenn ich das richtig verstanden habe, ist es ein Windows Server. Da gibts also keine iptables. ;)

@Ghostridah:

Per phpmyadmin kannst du einstellen, dass es z.B. nur lokale User gibt (root@localhost z.B.) und nur diese Zugriff auf die Datenbank/Tabelle haben. Das sollte normal schon reichen, damit kein User von aussen die Datenbank ansprechen kann.

Ob es das evtl auch direkt in einer mysql-Konfigurations-Datei gibt, auf welcher IP-Adresse der Server lauschen soll, bin ich mir grad nicht sicher. Ich meine, das gabs irgendwo die Option, aber weiss nicht mehr in welcher Datei.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Hab mal in der Tabelle nachgeguckt und da stehen nur lokale Benutzer drin.

in der my.cnf kann man auch ein paar Sachen umstellen und auch über bind-address 127.0.0.1 den Zugriff auf den localhost beschränken.

FTP hab ich auf 2121 umgestellt.

Jetzt muss ich mal alle meine Scripte durchgehen und dort den neuen Port eintragen..

Danke für eure Hilfe!

Link zu diesem Kommentar
Auf anderen Seiten teilen

Aaaaah - bind-address wars - genau. :)

Hab das bei google nicht gefunden gehabt eben.

[...]Jetzt muss ich mal alle meine Scripte durchgehen und dort den neuen Port eintragen[...]
Genau aus dem Grund sollte man bei Scripten eine Konfigurationsdatei includen mit Servername/IP-Adresse, Port, Datenbankname, User und Passwort.

So kann man die Scripte auch problemlos weiter geben und auf einem anderen Server laufen lassen. Einfach die Konfigurationsdatei leeren/anpassen und fertig.

@Forcid noch zum Thema Blacklist/Blockliste:

Bringt schon was, wenn man nur bestimmte IP-Bereiche erlaubt und den Rest blockt. Also Whitelisting statt Blacklisting. Das geht natürlich nur, wenn der Zugriff auf bestimmte Netze beschränkt sein soll/darf. Wenn von überall her Zugriff gestattet sein soll, dann kann man natürlich nur die jeweilige einzelne IP-Adresse jeweils blocken bzw auf eine Blacklist setzen.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...