Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

FTP-Server wird Gehackt?

Frage Sicherheit Erkennung und -Abwehr

Mitglied: 46010

46010 (Level 1)

12.05.2007, aktualisiert 13.05.2007, 6654 Aufrufe, 13 Kommentare

Hi,

schaut euch das mal an, ich seh das schon richtig das da jemand mit nem Tool versucht meinen ftp-server zu Hacken? Die Einträge gehen ewig so weiter...

Sat 12 May 2007 [04:37:53] 000092 USER boby
Sat 12 May 2007 [04:37:53] 000092 User connecting, login unknown: boby ; IP:218.149.205.185
Sat 12 May 2007 [04:37:53] 000092 331 User login OK, waiting for password
Sat 12 May 2007 [04:37:53] 000092 PASS
Sat 12 May 2007 [04:37:53] 000092 530 Identification failed, please try again
Sat 12 May 2007 [04:37:53] 000092 USER boby
Sat 12 May 2007 [04:37:53] 000092 User connecting, login unknown: boby ; IP:218.149.205.185
Sat 12 May 2007 [04:37:53] 000092 331 User login OK, waiting for password
Sat 12 May 2007 [04:37:54] 000092 PASS

Sat 12 May 2007 [04:37:54] 000092 530 Identification failed, please try again
Sat 12 May 2007 [04:37:54] 000092 USER bogus
Sat 12 May 2007 [04:37:54] 000092 User connecting, login unknown: bogus ; IP:218.149.205.185
Sat 12 May 2007 [04:37:54] 000092 331 User login OK, waiting for password
Sat 12 May 2007 [04:37:54] 000092 PASS
Sat 12 May 2007 [04:37:54] 000092 530 Identification failed, please try again
Sat 12 May 2007 [04:37:55] 000092 USER bogus
Sat 12 May 2007 [04:37:55] 000092 User connecting, login unknown: bogus ; IP:218.149.205.185
Sat 12 May 2007 [04:37:55] 000092 331 User login OK, waiting for password
Sat 12 May 2007 [04:37:55] 000092 PASS

Sat 12 May 2007 [04:37:55] 000092 530 Identification failed, please try again
Sat 12 May 2007 [04:37:55] 000092 USER bogus
Sat 12 May 2007 [04:37:55] 000092 User connecting, login unknown: bogus ; IP:218.149.205.185
Sat 12 May 2007 [04:37:55] 000092 331 User login OK, waiting for password
Sat 12 May 2007 [04:37:56] 000092 PASS
Sat 12 May 2007 [04:37:56] 000092 421 Identification failed too many times, you're disconnected
Sat 12 May 2007 [04:37:56] 000093 User connecting, IP:218.149.205.185
Sat 12 May 2007 [04:37:56] 000093 220 CFScout FTPServer Welcome !
Sat 12 May 2007 [04:37:57] 000093 USER bogus
Sat 12 May 2007 [04:37:57] 000093 User connecting, login unknown: bogus ; IP:218.149.205.185
Sat 12 May 2007 [04:37:57] 000093 331 User login OK, waiting for password
Sat 12 May 2007 [04:37:57] 000093 PASS

Sat 12 May 2007 [04:37:57] 000093 530 Identification failed, please try again
Sat 12 May 2007 [04:37:57] 000093 USER bonnie
Sat 12 May 2007 [04:37:57] 000093 User connecting, login unknown: bonnie ; IP:218.149.205.185
Sat 12 May 2007 [04:37:57] 000093 331 User login OK, waiting for password
Sat 12 May 2007 [04:37:57] 000093 PASS
Sat 12 May 2007 [04:37:57] 000093 530 Identification failed, please try again
Sat 12 May 2007 [04:37:58] 000093 USER bonnie
Sat 12 May 2007 [04:37:58] 000093 User connecting, login unknown: bonnie ; IP:218.149.205.185
Sat 12 May 2007 [04:37:58] 000093 331 User login OK, waiting for password
Sat 12 May 2007 [04:37:58] 000093 PASS

Sat 12 May 2007 [04:37:58] 000093 530 Identification failed, please try again
Sat 12 May 2007 [04:37:58] 000093 USER bonnie
Sat 12 May 2007 [04:37:58] 000093 User connecting, login unknown: bonnie ; IP:218.149.205.185
Sat 12 May 2007 [04:37:58] 000093 331 User login OK, waiting for password
Sat 12 May 2007 [04:37:59] 000093 PASS **
Sat 12 May 2007 [04:37:59] 000093 530 Identification failed, please try again
Sat 12 May 2007 [04:37:59] 000093 USER boris
Sat 12 May 2007 [04:37:59] 000093 User connecting, login unknown: boris ; IP:218.149.205.185

Nach jeweils 5 erfolglosen Versuchen schmeist ihn mein FTP-Server wohl kurz raus, hab das jetzt auf BAN umgestellt....Anfrage kommt wohl irgendwo aus Korea...

Kann man da irgendwas unternehmen?

Gruss Christian
Mitglied: brammer
12.05.2007 um 18:40 Uhr
Hallo,

den anmeldenamen nach zu urteilen sieht das wie eine Wörterbuch Attacke aus.
Wenn du keine Anmeldenamen aus einem Wörterbuch verwendest sollte es dem "Angreifer" schwer fallen rein zu kommen.
Sichere Passwörter, sichere Anmeldenamen dann sollte es das sein. Wenn die FTP Software zu dem noch auf einem aktuellen Stand ist, sollte es reichen.
Bitte warten ..
Mitglied: 46010
12.05.2007 um 18:54 Uhr
Hi,

na ja Standard-namen hab ich natürlich keine drinnen, aber überarbeiten werd ich die Zugänge schon (ellenlange Passwörter und so), die Einträge sind Kilometerlang...über stunden ist das gelaufen....

Ich hab in dem Tool (CesarFtpSrv) nur einen Schalter gefunden, eben Abwurf nach x ungültigen versuchen, oder Ban. Eine Ban-liste ist vorhanden also geh ich mal davon aus (probiert hab ichs natürlich noch nicht und Doku gibt keine) das von der Logik her die IP dann gebloggt wird.

Gegen den Versauch an sich kann man nix unternehmen?

Gruss Christian
Bitte warten ..
Mitglied: t3r0x
12.05.2007 um 19:04 Uhr
Dem Betreiber eine Email schreiben, dass sein Server gehackt wurde.

http://218.149.205.185 echamcom@hanmail.net

Gruss Andy
Bitte warten ..
Mitglied: Torsten72
12.05.2007 um 19:12 Uhr
einfach auf sftp über ssh2 umstellen, damit können auch ms-fan-boys mit filezilla cient oder winscp drauf zugreifen und das pw kann auch nicht ersnifft werden

außerdem ist das "abtasten" eines pcs auf zugangsmöglichkeiten legal, nur der unberechtigte zugriff nicht - aber der ist ja noch nicht erfolgt...

letztendlich versucht der zugreifer es nicht mit dem namen "Administrator", so dass in diesem falle eher von einem fehler als von einer attake auszugehen ist
Bitte warten ..
Mitglied: 46010
12.05.2007 um 19:16 Uhr
...Administrator und alle Varianten davon waren auch dabei....


Gruss Christian
Bitte warten ..
Mitglied: 16568
12.05.2007 um 19:55 Uhr
Auch ich mach' es bei meinen Kunden mittlerweile so, Ftp off, Sftp an, und dann SSH auf einen anderen Port umbiegen.

Generell sind aber in meiner Firewall sowieso alle IP-Ranges gesperrt, welche nicht meinem Kunden-Pool entsprechen könnten...


Lonesome Walker
Bitte warten ..
Mitglied: spacyfreak
12.05.2007 um 20:54 Uhr
Ports umbiegen ist ein probates Mittel um die "gängigen" Script Kiddie Attacken zumindest zu erschweren. Dann muss man den "berechtigten" Clients die umgebogenen Ports jedoch mitteilen.
Ansonsten hilft (meines Wissens) nur ein Intrusion Prevention, bzw. Sperrung der angreifenden IP bei einer bestimmten Anzahl von Zugriffsversuchen über einen Automatismus - gute Passwörter und "ungewöhnliche" Login-Namen mal vorrausgesetzt.

Prinzipiell nutze ich garkeine Protokolle, die unverschlüsselt übertragen.
Das Passwort flutscht unverschlüsselt über X Internet-Router und kann ersnifft werden.
Bitte warten ..
Mitglied: 46010
12.05.2007 um 21:04 Uhr
Könnt ihr mir einen SFTP-SRV-Tool für w2k empfehlen? Gibts das per Freeware?
Bitte warten ..
Mitglied: Torsten72
13.05.2007 um 11:27 Uhr
besser als ein ftp server ist z.b. copssh. unter win einfach zu installieren: user auf maschine anlegen, user im copssh aktiviren (aber kein keyfile anlegen) für /sftponly; pfw port 22 = on, router port 22 = weiterleiten... fertig.

zugriff mit winscp oder filezilla client, dort option: sftp über ssh2 und port 22, fertig

http://www.itefix.no/phpws/index.php?module=linkman&LMN_op=visitLin ...

den begriff: freeware solltest du aus deinem wortschatz streichen, bzw durch "gpl" ersetzen - man hat einfach mehr davon
Bitte warten ..
Mitglied: 46010
13.05.2007 um 13:02 Uhr
hi, und danke für den tipp.

habs inst., wenn ichs auf dem server mit putty probier komm ich rein, wenn ichs extern mit winscp probier lässt er mich nicht rein..., hm, muss ich da noch die publik-key-datei angeben oder so?

gruss christian
Bitte warten ..
Mitglied: 46010
13.05.2007 um 13:27 Uhr
hat sich erledigt...

im winscp muss ausser der url nix eingetragen werden, dann gings

danke nochmal für den tipp und schönen sonnteg noch

christian
Bitte warten ..
Mitglied: Torsten72
13.05.2007 um 19:29 Uhr
du wirst merken, das sich das viel leichter einrichten lässt, als dieses "im ansatz verrissene" ftp protokoll... und wesentlich sicherer als dieser ftp mit tls etc.... frickelkram, nur eben muss man auf seinem system die rechte ordentlich geklärt haben
Bitte warten ..
Mitglied: 46010
13.05.2007 um 20:59 Uhr
...Hab keinen Zugang für Admin oder so eingerichtet sondern gleich nen neuen User angelegt (mit eingeschränkten Rechten) und diesem den Zugang nun gestattet, na mal sehen was meine (Logfiles gibts ja jetzt nicht mehr) Ereignissanzeige nun so feststellt.

Was ich vermisse ist irgendwie ne gebündelte Zusammenfassung über die Möglichkeiten diese Pakets insgesamt, die Website selbst hält sich ja ziemlich bedeckt.
Aufgefallen ist mir beispielsweise das zwar die Angabe im Usermanager zum Homeordner sauber übernommen wird, ein Wechsel in Ordner darunter trotzdem möglich ist, was ja eigentlich nicht sein sollte.

Vielleicht hab ich irgend wo auch auch noch einen kleinen Fehler, gebe ich bei "Activate a user" an "only sftp" und wähle gleiches in winscp komm ich nicht drauf, wähle ich bash gehts einwandfrei....
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Linux Tools
CURL mehrere Dateien vom ftp-Server herunterladen (10)

Frage von highpriest zum Thema Linux Tools ...

Netzwerkmanagement
Zugriff auf FTP-Server durch Chrome in Windows 7 klappt nicht (3)

Frage von emilien2 zum Thema Netzwerkmanagement ...

Batch & Shell
gelöst Per Batch FTP-Server Dateien ändern (1)

Frage von Marlon1 zum Thema Batch & Shell ...

Firewall
gelöst Zwei FTP-Server hinter einer UTM 9 Software Appliance (10)

Frage von iGordon zum Thema Firewall ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (22)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...