Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

FTP wird angegriffen

Frage Sicherheit Erkennung und -Abwehr

Mitglied: cellanir

cellanir (Level 1) - Jetzt verbinden

24.03.2010, aktualisiert 17:18 Uhr, 6182 Aufrufe, 8 Kommentare

Hallo zusammen.

Ich habe seit einigen Tagen ein größeres Problem. In letzter Zeit wird mein FTP Server immer wieder von Hackern angegriffen.
Hier das Filezilla log:
01.
 >(001957) 24.03.2010 11:09:30 - (not logged in) (124.225.122.163)> Connected, sending welcome message... 
02.
 >(001957) 24.03.2010 11:09:30 - (not logged in) (124.225.122.163)> 220 FileZilla Server version 0.9.34 beta written by Tim Kosse (Tim.Kosse@gmx.de) Please visit http://sourceforge. 
03.
 >(001957) 24.03.2010 11:09:35 - (not logged in) (124.225.122.163)> USER Administrator 
04.
 >(001957) 24.03.2010 11:09:35 - (not logged in) (124.225.122.163)> 331 Password required for administrator 
05.
 >(001957) 24.03.2010 11:09:41 - (not logged in) (124.225.122.163)> PASS ****** 
06.
 >(001957) 24.03.2010 11:09:41 - (not logged in) (124.225.122.163)> 530 Login or password incorrect! 
07.
 >(001957) 24.03.2010 11:09:59 - (not logged in) (124.225.122.163)> USER Administrator 
08.
 >(001957) 24.03.2010 11:09:59 - (not logged in) (124.225.122.163)> 331 Password required for administrator 
09.
 >(001957) 24.03.2010 11:10:09 - (not logged in) (124.225.122.163)> PASS ****** 
10.
 >(001957) 24.03.2010 11:10:09 - (not logged in) (124.225.122.163)> 530 Login or password incorrect! 
11.
 >(001957) 24.03.2010 11:10:24 - (not logged in) (124.225.122.163)> 421 Kicked by Administrator 
12.
 >(001957) 24.03.2010 11:10:24 - (not logged in) (124.225.122.163)> disconnected.
Das ist nur ein kleiner Ausschnitt.

Wie unschwer zu erkennen ist, versucht sich der unbekannte immer wieder mit dem benutzeraccount Administrator anzumelden. Da ich auf dem Server der einzige mit FTP Zugang bin und der USER Administrator nicht existiert gehe ich von einem Fremdzugriff aus.

Das ist jetzt schon das dritte mal in dieser Woche.

Ich hatte nicht erwartet etwas damit zu erreichen. Dennoch war es einen Versuch wert einen WHOIS Lookup zu machen.
Das brachte folgendes Ergebniss:
01.
 >IP Address:	124.225.122.163 
02.
 >Source:	whois.apnic.net 
03.
 >Prefix:	124/8 
04.
 >Designation:	APNIC 
05.
 >Status:	ALLOCATED 
06.
 >% [whois.apnic.net node-3] 
07.
 >% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html 
08.
09.
 >inetnum: 124.225.122.0 - 124.225.122.255 
10.
 >netname: Hainan-TELECOM 
11.
 >descr: HaiKou New IDC Center 
12.
 >country: CN 
13.
 >admin-c: LZ8-AP 
14.
 >tech-c: LZ8-AP 
15.
 >mnt-by: MAINT-CN-CHINANET-HI 
16.
 >changed: [Email Removed] 20081113 
17.
 >status: ASSIGNED NON-PORTABLE 
18.
 >source: APNIC 
19.
20.
 >route: 124.225.0.0/16 
21.
 >descr: From Hainan Network of ChinaTelecom 
22.
 >origin: AS4134 
23.
 >mnt-by: MAINT-CHINANET 
24.
 >changed: [Email Removed] 20060707  
25.
 >source: APNIC 
26.
27.
 >person: liuqing zheng 
28.
 >address: 20th Floor,TelecomCenter Building 
29.
 >address: NanHai Avenue,HaiKou HaiNan province 
30.
 >country: CN 
31.
 >phone: +86-898-66816971 
32.
 >fax-no: +86-898-66785993 
33.
 >e-mail: [Email Removed] 
34.
 >nic-hdl: LZ8-AP 
35.
 >mnt-by: MAINT-CN-CHINANET-HI 
36.
 >changed: [Email Removed] 20020822 
37.
 >source: APNIC 
Nun zu meiner Frage. Was kann ich nun genau gegen solche Angreifer unternehmen. Es ist ja offensichtlich, dass hier scheinbar mittels bruteforce versucht wird in meinen FTP zu kommen. Ich denke es wird nicht einfach sein das jetzt nachzuvollziehen. Aber vielleicht gibt es ja eine möglichkeit etwas zu unternhemen, wären die verbindung steht.
Mitglied: Listo
24.03.2010 um 11:35 Uhr
Hallo,

solche Angriffe auf eine FTP Server sind normal.
Das ist kein Grund zur Beunrihigung, es sei denn, das Kennwort des FTP-Users ist zu einfach.
Für Server empfehle ich immer Kennwörter mit mind. 8 Zeichen, in denen Zahlen,Buchstaben und Sonderzeichen vorkommen müssen.

Grundsätzlich kann man gegen solche Angreifer nicht vorgehen, es sei denn Sie kommen aus Deutschland.

Also Kennwortstärke überdenken un dggf. das Kennwort ändern.

Gruß
Listo
Bitte warten ..
Mitglied: Arch-Stanton
24.03.2010 um 11:39 Uhr
Oh mein Gott, gibt es denn wirklich Bosheit auf dieser Welt?!?

Gruß, Arch Stanton
Bitte warten ..
Mitglied: 45877
24.03.2010 um 11:46 Uhr
Hallo,

autoban hast du aber schon eingeschaltet oder?
Bitte warten ..
Mitglied: maretz
24.03.2010 um 11:59 Uhr
Ähm - das ist jetzt das 3te Mal diese Woche? Na, dann ruf SEK, BND, CIA usw. sofort an. Die Navi-Seals sollen den Provider stürmen! Atomarer Angriff auf China da es scheinbar von denen kommt. Sofort alle Diplomatischen Kanäle schliessen - und den guten Regierungschef von China nen bösen Mann nennen!

Mal ernsthaft: Brute-Force-Angriffe wie den findest du bei öffentlich erreichbaren FTP-Servern im 100er Pack. Da sind die Script-Kiddys wie die Fliegen bei der Sch... -> finden die nen Haufen kommen sie gleich alle. Dabei ist es egal ob es sich um FTP, HTTP oder SMTP-Server handelt -> die Jungs scannen ganze Ranges von IPs ab um dort irgendwas zu finden (idR. machen die sich nichtmal die Mühe und lesen die Daten aus - so das die selbst nen ProFTPD der sich als Linux-Server ausgibt mit dem Usernamen "Administrator" angehen...).

Natürlich kannst du jetzt den Provider anschreiben. Allerdings hat das bei nem Chinesichem Provider in etwa denselben Erfolg als wenn du mit ner Gabel das Wasser aus dem Ozean abschöpfen willst. Und solang es nur Connect-Versuche sind würde auch in Deutschland kein Provider aktiv werden da derjenige dann eben sagt das er sich bei der IP vertippt hat und gut is...
Bitte warten ..
Mitglied: 85335
24.03.2010 um 12:48 Uhr
Da kann ich dir seitenweise meine Logs zeigen.
1.) Gutes Passwort vergeben (mind. 8 Zeichen mit Gross/Kleinschreibung und Sonderzeichen).
2.) Autoban nach 3-5 Versuchen
3.) Ignorieren

Die Idee von maretz ist natürlich auch gut.
Bitte warten ..
Mitglied: MisterExpulso
24.03.2010 um 15:43 Uhr
Solange es den Benutzer nicht gibt, werden sie eh keinen Erfolg haben. Also sch... drauf.
Bitte warten ..
Mitglied: mrtux
24.03.2010 um 17:09 Uhr
Hi!

Baldrian oder Hopfen (auch in flüssiger Form) soll bei sowas recht gut helfen....

mrtux
Bitte warten ..
Mitglied: maretz
25.03.2010 um 07:29 Uhr
Lieber mrtux,

nachdem ich das hier in der Firma mit der Flüssigen Form (ca. 3 Liter in 30 Min!) probiert habe gab es ärger mit meinem Chef. Ok - ich hätte ihm ggf. nicht auf die Hose kotzen sollen. Aber naja - ich wollte doch nur Zeit sparen und die flüssige Hopfen-Form schnellstmöglichst zu mir nehmen damit ich weiterarbeiten kann.

Leider hat mein Chef die Aussage so nicht angenommen das es mit der flüssigen Form klappt. Ich habe aber gelobt das ich mich bessere - ich denke ich habe Sie nur falsch verstanden. Nach langem Nachdenken bin ich drauf gekommen das die Anwendung wohl nicht bei mir sondern im Server stattfinden sollte. Nun - ich habe festen Hopfen in den Server gepackt - gibt es eigentlich einen guten Weg die Reste davon aus dem Kühl-Propeller zu bekommen? Da das aber nicht wirklich geholfen hat werde ich jetzt mal im Server die flüssige Form probieren.

Vielen Dank für den Ti
[user disconnected]
Bitte warten ..
Ähnliche Inhalte
Viren und Trojaner
1und1 Server wird angegriffen wenn nicht sogar gehackt
gelöst Frage von schorschViren und Trojaner2 Kommentare

Guten Tag Admins, ich wurde von 1und1 darauf hingewiesen, dass mein Server gehackt wurde. Anbei haben Sie mir folgenden ...

Netzwerkmanagement
FTP Wie Dropbox
gelöst Frage von chrisschmitt93Netzwerkmanagement5 Kommentare

Hallo zusammen, folgendes Problem, wir haben 3 Niederlassungen, 2x in Deutschland, 1x in China. Wir benutzen momentan Dropbox um ...

Server
FTP-Dowload
gelöst Frage von 118722Server21 Kommentare

Hi, ich möchte eine Datei automatisch per Batch von meinem Server downloaden. Das verzeichniss ist mit einer .htaccess datei ...

Windows Server
IIS7 (FTP über IIS6 ) FTP Richtig konfigurieren
gelöst Frage von PrincetuxWindows Server3 Kommentare

Hallo Miteinander, ich habe nun schon einige Dokumentationen gelesen zum Thema Einrichtung eines FTP Servers über IIS. Trotzdem Steige ...

Neue Wissensbeiträge
Windows 10

Windows 10 v1709 EN murkst bei den Regionseinstellungen

Tipp von DerWoWusste vor 4 StundenWindows 10

Dieser kurze Tipp richtet sich an den kleinen Personenkreis, der Win10 v1709 EN-US frisch installiert und dabei die englische ...

Webbrowser

Kein Ton bei Firefox Quantum über RDP

Tipp von Moddry vor 4 StundenWebbrowser

Hallo Kollegen! Hatte das Problem, dass der neue Firefox bei mir auf der Kiste keinen Ton hat, wenn ich ...

Internet

EU-DSGVO: WHOIS soll weniger Informationen liefern

Information von sabines vor 16 StundenInternet4 Kommentare

Wegen der europäische Datenschutzgrundverordnung stehen die Prozesse um die Registrierung von Domains auf dem Prüfstand. Sollte die Forderungen umgesetzt ...

Verschlüsselung & Zertifikate

19 Jahre alter Angriff auf TLS funktioniert immer noch

Information von BassFishFox vor 23 StundenVerschlüsselung & Zertifikate1 Kommentar

Interessant zu lesen. Der Bleichenbacher-Angriff gilt unter Kryptographen als Klassiker, trotzdem funktioniert er oft noch. Wie wir herausgefunden haben, ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
Von rj11 auf rj45
Frage von jensgebkenLAN, WAN, Wireless19 Kommentare

Hallo Gemeinschaft, könnt ihr mir vielleicht bei der anfertigung eines Kabels helfen - habe ein rj 11 stecker und ...

Netzwerkmanagement
Firefox Profieles im Roaming
gelöst Frage von Hendrik2586Netzwerkmanagement17 Kommentare

Hallo liebe Leute. :) Ich hab da ein kleines Problem, welches anscheinend nicht unbekannt ist. Wir nutzen hier in ...

LAN, WAN, Wireless
Häufig Probleme beim Anmelden in WLAN
Frage von mabue88LAN, WAN, Wireless15 Kommentare

Hallo zusammen, in einem Netzwerk gibt es relativ häufig (1-2 mal pro Woche) Probleme mit der WLAN-Verbindung. Zunächst mal ...

Windows Server
Remotesteuerung der Sitzung (Kennung XX) fehlgeschlagen
gelöst Frage von Stefan91Windows Server14 Kommentare

Hallo Zusammen, seit kurzem bekomme ich oben genannte Fehlermeldung, wenn ich versuche eine Remotesitzung über den Taskmanager fernzusteuern (Rechtsklick ...