ftp intrusion - was tun?

[Ghostridah]

Hallo,

ich habe gestern mal zufällig in die Konsole von meinem FTP Server (FileZilla) geguckt und mir ist aufgefallen, dass von diversen IP's versucht wird sich mit verschiedenen Benutzernamen wie "admin", "administrator", "newuser" etc.. m it verschiedenen Passwörtern einzuwählen.

Glücklicherweise wähle ich 1. sichere Passwörter und verwende 2. keine derartigen Benutzernamen.

Allerdings häuft sich in letzter Zeit die Zahl der Abstürze meines v-Servers und die Performance wird zunehmend schlechter.

Es könnte also in Zusammenhang mit diesen Dictionary-attacks liegen, zumal ich nich weis, welche Dienste ausser dem FTP noch betroffen sind.

Ansonsten läuft noch ein Mailserver (Mercury Mail) und ein Apache 2 Webserver und ein MySQL Datenbankserver (ein komplettes XAMPP-Paket) ausserdem ein Teamspeak 2 Server.

Ich ziehe etwas wie ein "Intrusion detection system" in Betracht, habe allerdings nicht viel Ahnung davon und weis nicht wie diese Programme eingreifen bzw was sie erkennen und was nicht.

Falls das die richtige Lösung wäre: Könnte mir jemand ein IDS für Windows Server 2003 (Enterprise) vorschlagen, oder habt ihr andere Lösungsvorschläge.

Danke schon einmal im vorraus für die Hilfe.

[Crash2001]

Also als erstes solltest du den ftp-Server auf einen anderen Port als den Standardport 21 legen (irgendwas über 1024 am besten). Dann die anderen Dienste, die auch Angriffspunkte sein sollten, sperren falls sie nicht benötigt werden, oder evtl auch die Ports umlegen, oder z.B. beim MySQL-Server nur Verbindungen von localhost (127.0.0.1) erlauben.

Kannst du beim FTP-Server keine Einstellung tätigen, dass eine IP beim "hammering" oder bei x fehlgeschlagenen Einloggversuchen auf die Blocking-Lsite kommt, oder kommen die Versuche immer von unterschiedlichen IPs (also distributed attacks)?

Oder muss auf den Server evtl nur aus bestimmten Addressbereichen aus zugegriffen werden, dass du die anderen direkt blocken kannst, wenn eine Anfrage von dort kommt?

[Ghostridah]

Danke für die Tipps.

Ich denke ich werde zumindest einmal den Port umlegen.

Der Tipp mit MySQL ist auch gut, wo stell ich das ein?

Die Attacken sind verteilt also kommen höchstens 2-5 Anfragen von verschiedenen IP Adressen aus allen möglichen Bereichen allerdings immer aus östlicheren Gefilden (hab mal einige IP's im browser eingegeben da kamen Seiten aus Russland, Ukraine, China sogar Kosovo) ...

[Forcid]

Zum Thema Blockliste:

Bringt meist nichts, da die IPs sehr häufig wechseln, kann man aber durchaus machen. Grundlegend würde ich aber Dienste wie SSH per iptables dicht machen, dh nur aus privilegierten Netzen. Dann bleibt noch zu überlegen, oder MySQL eventl. nur von dem Apache direkt gebraucht wird. Da könnte man dann auch alle Anfragen außer von localhost sperren, wieder mit iptables.

Ansonsten ist Portumlegen ansich nicht verkehrt und Usernamen fernab vom Standard sind auch immer gut.

[Crash2001]

Wenn ich das richtig verstanden habe, ist es ein Windows Server. Da gibts also keine iptables.

@Ghostridah:

Per phpmyadmin kannst du einstellen, dass es z.B. nur lokale User gibt (root@localhost z.B.) und nur diese Zugriff auf die Datenbank/Tabelle haben. Das sollte normal schon reichen, damit kein User von aussen die Datenbank ansprechen kann.

Ob es das evtl auch direkt in einer mysql-Konfigurations-Datei gibt, auf welcher IP-Adresse der Server lauschen soll, bin ich mir grad nicht sicher. Ich meine, das gabs irgendwo die Option, aber weiss nicht mehr in welcher Datei.

[Ghostridah]

Hab mal in der Tabelle nachgeguckt und da stehen nur lokale Benutzer drin.

in der my.cnf kann man auch ein paar Sachen umstellen und auch über bind-address 127.0.0.1 den Zugriff auf den localhost beschränken.

FTP hab ich auf 2121 umgestellt.

Jetzt muss ich mal alle meine Scripte durchgehen und dort den neuen Port eintragen..

Danke für eure Hilfe!

[Crash2001]

Aaaaah - bind-address wars - genau.

Hab das bei google nicht gefunden gehabt eben.

[...]Jetzt muss ich mal alle meine Scripte durchgehen und dort den neuen Port eintragen[...]

Genau aus dem Grund sollte man bei Scripten eine Konfigurationsdatei includen mit Servername/IP-Adresse, Port, Datenbankname, User und Passwort.

So kann man die Scripte auch problemlos weiter geben und auf einem anderen Server laufen lassen. Einfach die Konfigurationsdatei leeren/anpassen und fertig.

@Forcid noch zum Thema Blacklist/Blockliste:

Bringt schon was, wenn man nur bestimmte IP-Bereiche erlaubt und den Rest blockt. Also Whitelisting statt Blacklisting. Das geht natürlich nur, wenn der Zugriff auf bestimmte Netze beschränkt sein soll/darf. Wenn von überall her Zugriff gestattet sein soll, dann kann man natürlich nur die jeweilige einzelne IP-Adresse jeweils blocken bzw auf eine Blacklist setzen.

[Ghostridah]

Ich benutze auch config Dateien allerdings sind es trotzdem genug verschiedene Projekte ...