Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

FTP wird angegriffen

Frage Sicherheit Erkennung und -Abwehr

Mitglied: cellanir

cellanir (Level 1) - Jetzt verbinden

24.03.2010, aktualisiert 17:18 Uhr, 5972 Aufrufe, 8 Kommentare

Hallo zusammen.

Ich habe seit einigen Tagen ein größeres Problem. In letzter Zeit wird mein FTP Server immer wieder von Hackern angegriffen.
Hier das Filezilla log:
01.
 >(001957) 24.03.2010 11:09:30 - (not logged in) (124.225.122.163)> Connected, sending welcome message... 
02.
 >(001957) 24.03.2010 11:09:30 - (not logged in) (124.225.122.163)> 220 FileZilla Server version 0.9.34 beta written by Tim Kosse (Tim.Kosse@gmx.de) Please visit http://sourceforge. 
03.
 >(001957) 24.03.2010 11:09:35 - (not logged in) (124.225.122.163)> USER Administrator 
04.
 >(001957) 24.03.2010 11:09:35 - (not logged in) (124.225.122.163)> 331 Password required for administrator 
05.
 >(001957) 24.03.2010 11:09:41 - (not logged in) (124.225.122.163)> PASS ****** 
06.
 >(001957) 24.03.2010 11:09:41 - (not logged in) (124.225.122.163)> 530 Login or password incorrect! 
07.
 >(001957) 24.03.2010 11:09:59 - (not logged in) (124.225.122.163)> USER Administrator 
08.
 >(001957) 24.03.2010 11:09:59 - (not logged in) (124.225.122.163)> 331 Password required for administrator 
09.
 >(001957) 24.03.2010 11:10:09 - (not logged in) (124.225.122.163)> PASS ****** 
10.
 >(001957) 24.03.2010 11:10:09 - (not logged in) (124.225.122.163)> 530 Login or password incorrect! 
11.
 >(001957) 24.03.2010 11:10:24 - (not logged in) (124.225.122.163)> 421 Kicked by Administrator 
12.
 >(001957) 24.03.2010 11:10:24 - (not logged in) (124.225.122.163)> disconnected.
Das ist nur ein kleiner Ausschnitt.

Wie unschwer zu erkennen ist, versucht sich der unbekannte immer wieder mit dem benutzeraccount Administrator anzumelden. Da ich auf dem Server der einzige mit FTP Zugang bin und der USER Administrator nicht existiert gehe ich von einem Fremdzugriff aus.

Das ist jetzt schon das dritte mal in dieser Woche.

Ich hatte nicht erwartet etwas damit zu erreichen. Dennoch war es einen Versuch wert einen WHOIS Lookup zu machen.
Das brachte folgendes Ergebniss:
01.
 >IP Address:	124.225.122.163 
02.
 >Source:	whois.apnic.net 
03.
 >Prefix:	124/8 
04.
 >Designation:	APNIC 
05.
 >Status:	ALLOCATED 
06.
 >% [whois.apnic.net node-3] 
07.
 >% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html 
08.
09.
 >inetnum: 124.225.122.0 - 124.225.122.255 
10.
 >netname: Hainan-TELECOM 
11.
 >descr: HaiKou New IDC Center 
12.
 >country: CN 
13.
 >admin-c: LZ8-AP 
14.
 >tech-c: LZ8-AP 
15.
 >mnt-by: MAINT-CN-CHINANET-HI 
16.
 >changed: [Email Removed] 20081113 
17.
 >status: ASSIGNED NON-PORTABLE 
18.
 >source: APNIC 
19.
20.
 >route: 124.225.0.0/16 
21.
 >descr: From Hainan Network of ChinaTelecom 
22.
 >origin: AS4134 
23.
 >mnt-by: MAINT-CHINANET 
24.
 >changed: [Email Removed] 20060707  
25.
 >source: APNIC 
26.
27.
 >person: liuqing zheng 
28.
 >address: 20th Floor,TelecomCenter Building 
29.
 >address: NanHai Avenue,HaiKou HaiNan province 
30.
 >country: CN 
31.
 >phone: +86-898-66816971 
32.
 >fax-no: +86-898-66785993 
33.
 >e-mail: [Email Removed] 
34.
 >nic-hdl: LZ8-AP 
35.
 >mnt-by: MAINT-CN-CHINANET-HI 
36.
 >changed: [Email Removed] 20020822 
37.
 >source: APNIC 
Nun zu meiner Frage. Was kann ich nun genau gegen solche Angreifer unternehmen. Es ist ja offensichtlich, dass hier scheinbar mittels bruteforce versucht wird in meinen FTP zu kommen. Ich denke es wird nicht einfach sein das jetzt nachzuvollziehen. Aber vielleicht gibt es ja eine möglichkeit etwas zu unternhemen, wären die verbindung steht.
Mitglied: Listo
24.03.2010 um 11:35 Uhr
Hallo,

solche Angriffe auf eine FTP Server sind normal.
Das ist kein Grund zur Beunrihigung, es sei denn, das Kennwort des FTP-Users ist zu einfach.
Für Server empfehle ich immer Kennwörter mit mind. 8 Zeichen, in denen Zahlen,Buchstaben und Sonderzeichen vorkommen müssen.

Grundsätzlich kann man gegen solche Angreifer nicht vorgehen, es sei denn Sie kommen aus Deutschland.

Also Kennwortstärke überdenken un dggf. das Kennwort ändern.

Gruß
Listo
Bitte warten ..
Mitglied: Arch-Stanton
24.03.2010 um 11:39 Uhr
Oh mein Gott, gibt es denn wirklich Bosheit auf dieser Welt?!?

Gruß, Arch Stanton
Bitte warten ..
Mitglied: 45877
24.03.2010 um 11:46 Uhr
Hallo,

autoban hast du aber schon eingeschaltet oder?
Bitte warten ..
Mitglied: maretz
24.03.2010 um 11:59 Uhr
Ähm - das ist jetzt das 3te Mal diese Woche? Na, dann ruf SEK, BND, CIA usw. sofort an. Die Navi-Seals sollen den Provider stürmen! Atomarer Angriff auf China da es scheinbar von denen kommt. Sofort alle Diplomatischen Kanäle schliessen - und den guten Regierungschef von China nen bösen Mann nennen!

Mal ernsthaft: Brute-Force-Angriffe wie den findest du bei öffentlich erreichbaren FTP-Servern im 100er Pack. Da sind die Script-Kiddys wie die Fliegen bei der Sch... -> finden die nen Haufen kommen sie gleich alle. Dabei ist es egal ob es sich um FTP, HTTP oder SMTP-Server handelt -> die Jungs scannen ganze Ranges von IPs ab um dort irgendwas zu finden (idR. machen die sich nichtmal die Mühe und lesen die Daten aus - so das die selbst nen ProFTPD der sich als Linux-Server ausgibt mit dem Usernamen "Administrator" angehen...).

Natürlich kannst du jetzt den Provider anschreiben. Allerdings hat das bei nem Chinesichem Provider in etwa denselben Erfolg als wenn du mit ner Gabel das Wasser aus dem Ozean abschöpfen willst. Und solang es nur Connect-Versuche sind würde auch in Deutschland kein Provider aktiv werden da derjenige dann eben sagt das er sich bei der IP vertippt hat und gut is...
Bitte warten ..
Mitglied: 85335
24.03.2010 um 12:48 Uhr
Da kann ich dir seitenweise meine Logs zeigen.
1.) Gutes Passwort vergeben (mind. 8 Zeichen mit Gross/Kleinschreibung und Sonderzeichen).
2.) Autoban nach 3-5 Versuchen
3.) Ignorieren

Die Idee von maretz ist natürlich auch gut.
Bitte warten ..
Mitglied: MisterExpulso
24.03.2010 um 15:43 Uhr
Solange es den Benutzer nicht gibt, werden sie eh keinen Erfolg haben. Also sch... drauf.
Bitte warten ..
Mitglied: mrtux
24.03.2010 um 17:09 Uhr
Hi!

Baldrian oder Hopfen (auch in flüssiger Form) soll bei sowas recht gut helfen....

mrtux
Bitte warten ..
Mitglied: maretz
25.03.2010 um 07:29 Uhr
Lieber mrtux,

nachdem ich das hier in der Firma mit der Flüssigen Form (ca. 3 Liter in 30 Min!) probiert habe gab es ärger mit meinem Chef. Ok - ich hätte ihm ggf. nicht auf die Hose kotzen sollen. Aber naja - ich wollte doch nur Zeit sparen und die flüssige Hopfen-Form schnellstmöglichst zu mir nehmen damit ich weiterarbeiten kann.

Leider hat mein Chef die Aussage so nicht angenommen das es mit der flüssigen Form klappt. Ich habe aber gelobt das ich mich bessere - ich denke ich habe Sie nur falsch verstanden. Nach langem Nachdenken bin ich drauf gekommen das die Anwendung wohl nicht bei mir sondern im Server stattfinden sollte. Nun - ich habe festen Hopfen in den Server gepackt - gibt es eigentlich einen guten Weg die Reste davon aus dem Kühl-Propeller zu bekommen? Da das aber nicht wirklich geholfen hat werde ich jetzt mal im Server die flüssige Form probieren.

Vielen Dank für den Ti
[user disconnected]
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(2)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...