Toon posts:

FTP server: poging tot binnendringen

Pagina: 1
Acties:
  • 478 views sinds 30-01-2008
  • Reageer

vrijdag 24 maart 2006 20:10

Acties:

Verwijderd

Topicstarter
Ik heb een FTP-server draaien op een Windows 2003 server. Maar nu wordt ik de laatste paar dagen al een tijdje gestalkt door een of andere mongool uit Rusland. Mijn logs van Filezilla geven het volgende aan:
(010255) 24-3-2006 20:06:28 - (not logged in) (213.85.175.155)> USER user21
(010255) 24-3-2006 20:06:28 - (not logged in) (213.85.175.155)> 331 Password required for user21
(010251) 24-3-2006 20:06:29 - (not logged in) (213.85.175.155)> PASS ****
(010251) 24-3-2006 20:06:29 - (not logged in) (213.85.175.155)> 530 Login or password incorrect!
(010251) 24-3-2006 20:06:29 - (not logged in) (213.85.175.155)> disconnected.
(010257) 24-3-2006 20:06:29 - (not logged in) (213.85.175.155)> Connected, sending welcome message...
(010257) 24-3-2006 20:06:29 - (not logged in) (213.85.175.155)> 220
(010252) 24-3-2006 20:06:30 - (not logged in) (213.85.175.155)> PASS ****
(010252) 24-3-2006 20:06:30 - (not logged in) (213.85.175.155)> 530 Login or password incorrect!
(010252) 24-3-2006 20:06:30 - (not logged in) (213.85.175.155)> disconnected.
(010258) 24-3-2006 20:06:30 - (not logged in) (213.85.175.155)> Connected, sending welcome message...
(010258) 24-3-2006 20:06:30 - (not logged in) (213.85.175.155)> 220
(010254) 24-3-2006 20:06:32 - (not logged in) (213.85.175.155)> PASS ********
(010254) 24-3-2006 20:06:32 - (not logged in) (213.85.175.155)> 530 Login or password incorrect!
(010253) 24-3-2006 20:06:32 - (not logged in) (213.85.175.155)> PASS
(010253) 24-3-2006 20:06:32 - (not logged in) (213.85.175.155)> 530 Login or password incorrect!
(010254) 24-3-2006 20:06:32 - (not logged in) (213.85.175.155)> disconnected.
(010253) 24-3-2006 20:06:32 - (not logged in) (213.85.175.155)> disconnected.
(010259) 24-3-2006 20:06:32 - (not logged in) (213.85.175.155)> Connected, sending welcome message...
(010259) 24-3-2006 20:06:32 - (not logged in) (213.85.175.155)> 220
(010260) 24-3-2006 20:06:33 - (not logged in) (213.85.175.155)> Connected, sending welcome message...
(010260) 24-3-2006 20:06:33 - (not logged in) (213.85.175.155)> 220
(010256) 24-3-2006 20:06:33 - (not logged in) (213.85.175.155)> USER god321
(010256) 24-3-2006 20:06:33 - (not logged in) (213.85.175.155)> 331 Password required for god321
(010255) 24-3-2006 20:06:34 - (not logged in) (213.85.175.155)> PASS ********
(010255) 24-3-2006 20:06:34 - (not logged in) (213.85.175.155)> 530 Login or password incorrect!
(010255) 24-3-2006 20:06:34 - (not logged in) (213.85.175.155)> disconnected.
(010261) 24-3-2006 20:06:34 - (not logged in) (213.85.175.155)> Connected, sending welcome message...
(010261) 24-3-2006 20:06:34 - (not logged in) (213.85.175.155)> 220
(010257) 24-3-2006 20:06:35 - (not logged in) (213.85.175.155)> USER god123
(010257) 24-3-2006 20:06:35 - (not logged in) (213.85.175.155)> 331 Password required for god123
(010258) 24-3-2006 20:06:36 - (not logged in) (213.85.175.155)> USER user12
(010258) 24-3-2006 20:06:36 - (not logged in) (213.85.175.155)> 331 Password required for user12
(010260) 24-3-2006 20:06:38 - (not logged in) (213.85.175.155)> USER god
(010260) 24-3-2006 20:06:38 - (not logged in) (213.85.175.155)> 331 Password required for god
(010259) 24-3-2006 20:06:38 - (not logged in) (213.85.175.155)> USER god12
(010259) 24-3-2006 20:06:38 - (not logged in) (213.85.175.155)> 331 Password required for god12
(010256) 24-3-2006 20:06:39 - (not logged in) (213.85.175.155)> PASS ********
(010256) 24-3-2006 20:06:39 - (not logged in) (213.85.175.155)> 530 Login or password incorrect!
(010256) 24-3-2006 20:06:39 - (not logged in) (213.85.175.155)> disconnected.
(010262) 24-3-2006 20:06:40 - (not logged in) (213.85.175.155)> Connected, sending welcome message...
(010262) 24-3-2006 20:06:40 - (not logged in) (213.85.175.155)> 220
(010261) 24-3-2006 20:06:40 - (not logged in) (213.85.175.155)> USER user21
(010261) 24-3-2006 20:06:40 - (not logged in) (213.85.175.155)> 331 Password required for user21
(010257) 24-3-2006 20:06:41 - (not logged in) (213.85.175.155)> PASS ****
(010257) 24-3-2006 20:06:41 - (not logged in) (213.85.175.155)> 530 Login or password incorrect!
(010257) 24-3-2006 20:06:41 - (not logged in) (213.85.175.155)> disconnected.
(010263) 24-3-2006 20:06:42 - (not logged in) (213.85.175.155)> Connected, sending welcome message...
(010263) 24-3-2006 20:06:42 - (not logged in) (213.85.175.155)> 220
(010258) 24-3-2006 20:06:42 - (not logged in) (213.85.175.155)> PASS ****
Een whois op het ip-adres geeft dit resultaat. Wat kan ik nu het beste doen? Hij houdt maar niet op! Ook niet als ik de FTP-server even een paar uurtjes offline haal.

vrijdag 24 maart 2006 20:11

Acties:
  • fsfikke
  • Registratie: Maart 2003
  • Niet online

fsfikke

* * * *

Kan je dat IP niet gewoon blocken?

Zijn spaties in de aanbieding ofzo? www.spatiegebruik.nl

vrijdag 24 maart 2006 20:12

Acties:
  • DexterDee
  • Registratie: November 2004
  • Laatst online: 10:01

DexterDee

I doubt, therefore I might be

IP filtering aanzetten en z'n IP in de blocklist gooien? Of het IP blokkeren in de router als je die hebt.

Klik hier om mij een DM te sturen • 3245 WP op ZW

vrijdag 24 maart 2006 20:14

Acties:
  • Repec
  • Registratie: December 2004
  • Laatst online: 17-10-2025

Repec

Misschien zou je de beheerder van het ip adres een abuse mail kunnen sturen en de poort van je ftp server aanpassen.

vrijdag 24 maart 2006 20:24

Acties:

Verwijderd

Dit heb ik ook wel eens gehad.. er werd in een ip reeks bij mij toen gescand bij een bepaalde poort, na het veranderen van de poort was het hele verhaalte opgelost.

vrijdag 24 maart 2006 20:46

Acties:
  • Bor
  • Registratie: Februari 2001
  • Laatst online: 10:13

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Heb je er wel eens aan gedacht dat het IP dat je hier zo openlijk post ook gewoon kan zijn van iemand die zelf gehacked is en niet eens weet dat zijn pc aan het scannen is?

Tip: IP's altijd even weghalen. Het IP is namelijk ook niet relevant eigenlijk voor de probleemomschrijving.

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

zaterdag 25 maart 2006 04:33

Acties:
  • burne
  • Registratie: Maart 2000
  • Niet online

burne

Mine! Waah!

Verwijderd schreef op vrijdag 24 maart 2006 @ 20:10:
Ik heb een FTP-server draaien op een Windows 2003 server. Maar nu wordt ik de laatste paar dagen al een tijdje gestalkt door een of andere mongool uit Rusland.
En hoe lang ben je al met dat 'intuhnet' bezig?
Wat kan ik nu het beste doen? Hij houdt maar niet op!
Een of ander Duits hackertje probeert inmiddels al een jaar of 8 bij me 'in te breken'. Je hebt genoeg tips gehad. Eentje die ik nog niet gezien heb is iets anders dan FTP gaan gebruiken. SCP of SFTP zijn opties. Maak host-keys aan, zet keyboard-interactive als authenticatie aan, limiteer het aantal inlogpogingen op 1 per minuut per IP. Wedden dat 'ie stopt?

I don't like facts. They have a liberal bias.

zaterdag 25 maart 2006 07:59

Acties:
  • Duddits
  • Registratie: Februari 2001
  • Niet online

Duddits

Burne schreef op zaterdag 25 maart 2006 @ 04:33:
Een of ander Duits hackertje probeert inmiddels al een jaar of 8 bij me 'in te breken'.
Wedden dat 'ie stopt?
Je spreekt jezelf tegen,.....

zaterdag 25 maart 2006 09:33

Acties:
  • qless
  • Registratie: Maart 2000
  • Laatst online: 10-02 19:32

qless

...vraag maar...

Heb ik ook wel eens gehad met een amerikaantje op een bell verbinding. Aangezien bell toch niet reageert op abuse@ meldingen maar een pingflood terug gestuurd van een 100mbps bak, na 2 minuten was ie gestopt...

Website|Air 3s|Mini 4 Pro|Avata 2|Canon R6|Canon 5d2|8 fisheye|14f2.8|24f2.8|50f1.8|135f2|10-22|17-40|24-105|70-300|150-600

zaterdag 25 maart 2006 09:41

Acties:
  • Mitch
  • Registratie: April 2001
  • Laatst online: 15-01 23:26

Mitch

er zit toch gewoon een IP filter bij FileZilla ?
En wat hierboven ook staat : vaak zijn het gewoon scripts op een gehackte bak ....

zaterdag 25 maart 2006 13:14

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

robbertm schreef op zaterdag 25 maart 2006 @ 07:59:
[...]


Je spreekt jezelf tegen.....
Ooit zal ie eens stoppen ;)

Sowieso is een ip acl wel makkelijk (ook niet heilig) met ftp.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

zaterdag 25 maart 2006 13:48

Acties:
  • Jimbolino
  • Registratie: Januari 2001
  • Laatst online: 11-02 16:33

Jimbolino

troep.com

- stuur een abuse melding
- block zijn ip
- draai nooit services op de standaard poorten

ddossen heeft weinig nut, de kans is 90% dat dat ip adres zelf gehackt is, en als een proxy/bot gebruikt wordt. zoiezo is ddossen kansloos, beetje kinderachtig om met modder naar elkaar te gooien om je problemen op te lossen...

The two basic principles of Windows system administration:
For minor problems, reboot
For major problems, reinstall

zaterdag 25 maart 2006 14:01

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Jimbolino schreef op zaterdag 25 maart 2006 @ 13:48:
- draai nooit services op de standaard poorten
Ah, security by obscurity dus.

Alleen zo jammer dat je dan jezelf nog meer werk bezorgt doordat je al je aangepaste services nu zelf extra moet onderhouden.
Plus dat het gen ruk uitmaakt, als je service X op poort Y draait kan ik 'm vinden, als je 'm op poort YY draait kan ik 'm ook vinden.
Een offered service is een offered service.

[ Voor 23% gewijzigd door alt-92 op 25-03-2006 14:04 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

zondag 26 maart 2006 03:07

Acties:
  • Jimbolino
  • Registratie: Januari 2001
  • Laatst online: 11-02 16:33

Jimbolino

troep.com

BackSlash32 schreef op zaterdag 25 maart 2006 @ 14:01:
[...]
Ah, security by obscurity dus.
Ik heb het hier niet over security, maar over het eenvoudig voorkomen van scans door trojans/scriptkiddies.
Je bespaart er jezelf heel wat onnodig dataverkeer en cpu-load mee.

Maar als jij een beter idee hebt, wat makkelijker uit te voeren is natuurlijk, dan laat het vooral horen ipv one-liners te posten.

The two basic principles of Windows system administration:
For minor problems, reboot
For major problems, reinstall

zondag 26 maart 2006 03:14

Acties:
  • RobIII
  • Registratie: December 2001
  • Niet online

RobIII

Admin Devschuur®

^ Romeinse Ⅲ ja!

(overleden)
Jimbolino schreef op zondag 26 maart 2006 @ 03:07:
[...]

Ik heb het hier niet over security, maar over het eenvoudig voorkomen van scans door trojans/scriptkiddies.
Je bespaart er jezelf heel wat onnodig dataverkeer en cpu-load mee.

Maar als jij een beter idee hebt, wat makkelijker uit te voeren is natuurlijk, dan laat het vooral horen ipv one-liners te posten.
Toch heeft hij wel een punt, one-liner of niet. Die poorten zijn niet voor niets gestandaardiseerd. Stel je voor dat iedereen zijn webserver op een andere poort ging draaien, of worse: DNS....of whatever. Het beste is nog steeds gewoon een fatsoenlijke username (en dus niet Administrator / root / r00t / God en whatever) en een fatsoenlijk wachtwoord van een tekentje of 6+ (bij voorkeur 8 ) met cijfers, letters en als het kan ook nog wat leestekens enzo en als je het helemaal goed doet verander je het ook nog eens iedere 3 maanden ofzo. De oplossing die jij biedt (op een andere poort draaien) is net zo "zinloos" als de "one-liners" van BackSlash32. Je manier van reageren maakt het er ook niet gezelliger en/of beter op hier.

En wat betreft het dataverkeer: Denk je dat dat merkbaar is op een beetje breedband verbinding? En die CPU load zal ook wel meevallen, denk je niet? Mocht je hier al een hoge CPU load van krijgen dan moet je je eens afvragen of je niet beter helemaal geen FTP kunt draaien ;)

En tot slot: Uiteraard kun je IP's (voor een al dan niet bepaalde tijd) laten blokkeren na X login pogingen en desnoods "forever" na Y pogingen. Heb je er helemaal geen omkijken meer naar. Een beetje FTP server (geen idee of FileZilla het kan) kan dat prima.

En ja, dat is allemaal (in the long run) makkelijker uit te voeren dan de poort wijzigen (waarbij je iedereen die je FTP wil/gaat gebruiken mag vertellen dat ze op poort XYZ moeten zijn en dan mag je voor iedere FTP client gaan uitzoeken met de n00b users waar dat zit blah blah). Nog even los van het feit van (corporate)FTP proxies die je door NAT heen helpen (want als ze die draaien staat 'ie geheid op 21 en gaan ze echt niet voor jou nog een "uitzondering" maken).

[ Voor 45% gewijzigd door RobIII op 26-03-2006 03:20 ]

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Je eigen tweaker.me redirect

Over mij

zondag 26 maart 2006 03:20

Acties:
  • Jimbolino
  • Registratie: Januari 2001
  • Laatst online: 11-02 16:33

Jimbolino

troep.com

RobIII schreef op zondag 26 maart 2006 @ 03:14:
[...]
Toch heeft hij wel een punt, one-liner of niet. Die poorten zijn niet voor niets gestandaardiseerd. Stel je voor dat iedereen zijn webserver op een andere poort ging draaien, of worse: DNS....of whatever. Het beste is nog steeds gewoon een fatsoenlijke username (en dus niet Administrator / root / r00t / God en whatever) en een fatsoenlijk wachtwoord van een tekentje of 6+ (bij voorkeur 8) met cijfers, letters en als het kan ook nog wat leestekens enzo en als je het helemaal goed doet verander je het ook nog eens iedere 3 maanden ofzo. De oplossing die jij biedt (op een andere poort draaien) is net zo "zinloos" als de "one-liners" van BackSlash32.
Dat klopt, maar mijn oplossing is wel een directe oplossing voor het probleem van de TS.
Het lijkt me ook niet echt zinnig om in een topic als dit te gaan discussieren over wat de beste manier is om je server te beveiligen.
Met een goed wachtwoord los je niet op dat scriptkiddies je ftp server scannen/flooden waardoor je pc/ftpd traag wordt. Door het op een andere poort te draaien wel.

Verder is het natuurlijk het toppunt van onzinnigheid om DNS/HTTP op andere poorten te draaien dan de standaard. Maar voor een huis-tuin-en-keuken ftp servertje lijkt het me niet zon groot probleem om af te wijken van de "internetstandaarden"

edit:
En wat betreft het dataverkeer: Denk je dat dat merkbaar is op een beetje breedband verbinding? En die CPU load zal ook wel meevallen, denk je niet? Mocht je hier al een hoge CPU load van krijgen dan moet je je eens afvragen of je niet beter helemaal geen FTP kunt draaien
Als iemand met 500 threads via proxies of verschillende ip's scant. Merk je die load echt wel, zeker als je een niet al te snelle server hebt met een beetje brakke ftpd erop. Maar van 1 login per seconde zul je in de praktijk niet zo veel merken nee...

[ Voor 18% gewijzigd door Jimbolino op 26-03-2006 03:25 ]

The two basic principles of Windows system administration:
For minor problems, reboot
For major problems, reinstall

zondag 26 maart 2006 03:21

Acties:
  • RobIII
  • Registratie: December 2001
  • Niet online

RobIII

Admin Devschuur®

^ Romeinse Ⅲ ja!

(overleden)
Jimbolino schreef op zondag 26 maart 2006 @ 03:20:
[...]

Dat klopt, maar mijn oplossing is wel een directe oplossing voor het probleem van de TS.
Het lijkt me ook niet echt zinnig om in een topic als dit te gaan discussieren over wat de beste manier is om je server te beveiligen.
Met een goed wachtwoord los je niet op dat scriptkiddies je ftp server scannen/flooden waardoor je pc/ftpd traag wordt. Door het op een andere poort te draaien wel.

Verder is het natuurlijk het toppunt van onzinnigheid om DNS/HTTP op andere poorten te draaien dan de standaard. Maar voor een huis-tuin-en-keuken ftp servertje lijkt het me niet zon groot probleem om af te wijken van de "internetstandaarden"
En dat is wat BackSlash32 bedoelde met "security by through obscurity". Je lost er immers niets mee op. Een beetje script scant net zo vrolijk andere poorten.

En ook voor "huis tuin en keuken" servers geldt dat je niet gehacked wil worden en zo je eigen gemaakte pr0n foto's van je vriendinnetje(s) of je diepste geheimen uit je word-dagboek op straat wil zien liggen. Als er iemand binnen komt (scriptkiddie of niet) ben je nét zo goed de sjaak als een multinational, alleen misschien op een ander vlak (privé vs. bedrijfsgeheim en dat soort zaken). En het doet allebei pijn, trust me ;) Echter, privé zou mij meer pijn doen dan gegevens van de zaak die op straat liggen. Ik weet niet hoe jij daarover denkt.

[ Voor 38% gewijzigd door RobIII op 26-03-2006 03:26 ]

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Je eigen tweaker.me redirect

Over mij

zondag 26 maart 2006 03:33

Acties:
  • Jimbolino
  • Registratie: Januari 2001
  • Laatst online: 11-02 16:33

Jimbolino

troep.com

Hackpogingen hou je eerder tegen door je software een beetje up to date te houden, dan door goede wachtwoorden te verzinnen. Maar met beveiligen is het altijd "en-en" ipv "of-of" imho.

Een compromised account betekent niet altijd dat je toegang tot alle pron foto's van je vriendin hebt natuurlijk ;)

maar misschien is het beter om deze discussie voort te zetten in Beveiliging & Virussen aangezien het zwaar offtopic begint te worden :)

je zou jezelf ook de vraag kunnen stellen: wat is erger, je vriendin kwijtraken, of je baan verliezen :P

[ Voor 7% gewijzigd door Jimbolino op 26-03-2006 03:34 ]

The two basic principles of Windows system administration:
For minor problems, reboot
For major problems, reinstall

zondag 26 maart 2006 03:38

Acties:
  • RobIII
  • Registratie: December 2001
  • Niet online

RobIII

Admin Devschuur®

^ Romeinse Ⅲ ja!

(overleden)
Jimbolino schreef op zondag 26 maart 2006 @ 03:33:
Hackpogingen hou je eerder tegen door je software een beetje up to date te houden, dan door goede wachtwoorden te verzinnen. Maar met beveiligen is het altijd "en-en" ipv "of-of" imho.
Uiteraard is het up-to-date houden van je software ook een zaak. Waar zeg ik dat het of-of is?
Jimbolino schreef op zondag 26 maart 2006 @ 03:33:
Een compromised account betekent niet altijd dat je toegang tot alle pron foto's van je vriendin hebt natuurlijk ;)
Niet altijd, maar dat kan het wel betekenen.
Jimbolino schreef op zondag 26 maart 2006 @ 03:33:
maar misschien is het beter om deze discussie voort te zetten in Beveiliging & Virussen aangezien het zwaar offtopic begint te worden :)

je zou jezelf ook de vraag kunnen stellen: wat is erger, je vriendin kwijtraken, of je baan verliezen :P
Je spreekt jezelf tegen. Waarom zou ik moeten kiezen "of-of"? Ik ga liever voor "en-en": Ik hou mijn baan én mijn vriendin.

We gaan inderdaad misschien wat offtopic, maar het lijkt me wel degelijk relevant voor de TS dat hij niet op een andere poort hoeft te gaan draaien daar dit niets (of in elk geval érg weinig) oplost.

[ Voor 20% gewijzigd door RobIII op 26-03-2006 03:41 ]

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Je eigen tweaker.me redirect

Over mij

zondag 26 maart 2006 03:52

Acties:

Verwijderd

BackSlash32 schreef op zaterdag 25 maart 2006 @ 14:01:
[...]

Ah, security by obscurity dus.

Alleen zo jammer dat je dan jezelf nog meer werk bezorgt doordat je al je aangepaste services nu zelf extra moet onderhouden.
Plus dat het gen ruk uitmaakt, als je service X op poort Y draait kan ik 'm vinden, als je 'm op poort YY draait kan ik 'm ook vinden.
Een offered service is een offered service.
maar de "scanners" gaan eigenlijk nooit verder dan poort 45000. daarom heb ik uit veiligheidsoverwegingen alles boven die poorten zitten.

zondag 26 maart 2006 04:02

Acties:
  • RobIII
  • Registratie: December 2001
  • Niet online

RobIII

Admin Devschuur®

^ Romeinse Ⅲ ja!

(overleden)
Verwijderd schreef op zondag 26 maart 2006 @ 03:52:
[...]
maar de "scanners" gaan eigenlijk nooit verder dan poort 45000. daarom heb ik uit veiligheidsoverwegingen alles boven die poorten zitten.
Heb je daar een bron van :? Waarom zou "een scanner" (los van wat je daarmee bedoelt) tot 45.000 gaan en die laatste paar duizend dan skippen? Als je het mij vraagt bull.

[ Voor 27% gewijzigd door RobIII op 26-03-2006 04:05 ]

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Je eigen tweaker.me redirect

Over mij

zondag 26 maart 2006 04:07

Acties:

Verwijderd

De MEESTE mensen hebben wel niet het geduld om uberhaupt tot 45.000 te scannen :P

Maar iemand die jou gericht wil hacken die zal het wel scannen.

zondag 26 maart 2006 04:12

Acties:
  • RobIII
  • Registratie: December 2001
  • Niet online

RobIII

Admin Devschuur®

^ Romeinse Ⅲ ja!

(overleden)
Verwijderd schreef op zondag 26 maart 2006 @ 04:07:
De MEESTE mensen hebben wel niet het geduld om uberhaupt tot 45.000 te scannen :P

Maar iemand die jou gericht wil hacken die zal het wel scannen.
De MEESTE mensen hebben niet eens een idee dat ze een andere bak aan het scannen zijn en JUIST daarom worden complete poortranges afgescanned omdat ze er toch niets van af weten (ze zijn immers zelf hoogstwaarschijnlijk gehacked). Dit soort aannames is natuurlijk funest voor je "beveiliging".

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Je eigen tweaker.me redirect

Over mij

zondag 26 maart 2006 05:34

Acties:
  • Erik Jan
  • Registratie: Juni 1999
  • Niet online

Erik Jan

Langzaam en zeker

Het leukste is natuurlijk om een account met username 'god' op je ftp server aan te maken en te limiteren op 1 bit/sec of om consequent de inhoud van alle bestanden die erop gezet worden te vervangen met dansende teletubbies / andere onzin content. Of, als je de tijd en kennis hebt, de FileZilla sourcecode aanpassen zodat dit automatisch gebeurt en je de scriptkiddies helemaal in de val lokt (dus door eigenlijk een geldige FTP omgeving te emuleren, maar compleet onvoorspelbaar gedrag daar aan toe te voegen).

This can no longer be ignored.

zondag 26 maart 2006 05:42

Acties:

Verwijderd

RobIII schreef op zondag 26 maart 2006 @ 04:12:
[...]

De MEESTE mensen hebben niet eens een idee dat ze een andere bak aan het scannen zijn en JUIST daarom worden complete poortranges afgescanned omdat ze er toch niets van af weten (ze zijn immers zelf hoogstwaarschijnlijk gehacked). Dit soort aannames is natuurlijk funest voor je "beveiliging".
precies, in een situatie waar gescand wordt vanuit een gehackte PC is dit wel het geval.
Daarom is die oplossing alleen om de kans kleiner te maken.

Maar voor meer te stoppen zul je een andere oplossing moeten doen :) Zoals reeds genoemd.

zondag 26 maart 2006 10:41

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Jimbolino schreef op zondag 26 maart 2006 @ 03:33:
Hackpogingen hou je eerder tegen door je software een beetje up to date te houden, dan door goede wachtwoorden te verzinnen. Maar met beveiligen is het altijd "en-en" ipv "of-of" imho.
een 3 karakter password blijft een slecht password.
Daar helpt het uptodate houden van de software niet tegen, dus is het noodzaak dat je de firmware in /dev/brain ook bijhoudt ;)
maar misschien is het beter om deze discussie voort te zetten in Beveiliging & Virussen aangezien het zwaar offtopic begint te worden :)
Niet eens zo gek idee, al heeft deze zijsprong ook hier zo zijn voordelen.
Al was het maar omdat lang niet iedereen dat forum weet te vinden voor dit soort vraagstukken.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

zondag 26 maart 2006 16:23

Acties:
  • RobIII
  • Registratie: December 2001
  • Niet online

RobIII

Admin Devschuur®

^ Romeinse Ⅲ ja!

(overleden)
Erik Jan schreef op zondag 26 maart 2006 @ 05:34:
Het leukste is natuurlijk om een account met username 'god' op je ftp server aan te maken en te limiteren op 1 bit/sec of om consequent de inhoud van alle bestanden die erop gezet worden te vervangen met dansende teletubbies / andere onzin content. Of, als je de tijd en kennis hebt, de FileZilla sourcecode aanpassen zodat dit automatisch gebeurt en je de scriptkiddies helemaal in de val lokt (dus door eigenlijk een geldige FTP omgeving te emuleren, maar compleet onvoorspelbaar gedrag daar aan toe te voegen).
8)7 |:( 8)7 :X
Heb je dan helemaal niks begrepen uit deze draad? :X
Ten eerste wil je niet in die source gaan rommelen want daar heb je alleen jezelf mee (en iedere keer als er een update verschijnt). Die scriptkiddies heb je er niet mee want die scannen nog een stuk of 10.000.000 (figuurlijk) andere PC's. Die liggen daar heus niet wakker van, als ze het uberhaupt al zouden merken.

Ten tweede is dit wederom "Security Through Obscurity" en is het geen werkbare oplossing. Tenzij de TS zin heeft om constant bestanden te gaan zitten vervangen door nepbestanden, poorten om te gooien, "gedrag" van de FTP server aan te passen enzovoorts.

Ik beweer écht niet dat ik een "FTP-God" ben en alle (of dé) oplossingen heb die de TS zoekt, maar ik weet wel dat dit soort "amateur" gedoe geen f*ck oplost.

[ Voor 3% gewijzigd door RobIII op 26-03-2006 16:24 ]

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Je eigen tweaker.me redirect

Over mij

zondag 26 maart 2006 16:44

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Ach, het is natuurlijk wel amusant voor jezelf, kan je tenminste nog een beetje maniakaal lachen als je je logfiles doorgegrep'ed doorgemaild krijgt ;)

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

zondag 26 maart 2006 21:19

Acties:
  • Erik Jan
  • Registratie: Juni 1999
  • Niet online

Erik Jan

Langzaam en zeker

RobIII schreef op zondag 26 maart 2006 @ 16:23:
[...]

8)7 |:( 8)7 :X
Heb je dan helemaal niks begrepen uit deze draad? :X
Ten eerste wil je niet in die source gaan rommelen want daar heb je alleen jezelf mee (en iedere keer als er een update verschijnt). Die scriptkiddies heb je er niet mee want die scannen nog een stuk of 10.000.000 (figuurlijk) andere PC's. Die liggen daar heus niet wakker van, als ze het uberhaupt al zouden merken.

Ten tweede is dit wederom "Security Through Obscurity" en is het geen werkbare oplossing. Tenzij de TS zin heeft om constant bestanden te gaan zitten vervangen door nepbestanden, poorten om te gooien, "gedrag" van de FTP server aan te passen enzovoorts.

Ik beweer écht niet dat ik een "FTP-God" ben en alle (of dé) oplossingen heb die de TS zoekt, maar ik weet wel dat dit soort "amateur" gedoe geen f*ck oplost.
Misschien moet jij mijn post dan nog een keer doorlezen, want ik gooi het duidelijk op het "leukste" en tracht geen "(meest) werkbare oplossing" aan te dragen. Ik zie niet in hoe een fork van de CVS van FileZilla een beetje ervaren coder ervan zou weerhouden om ook de updates van het FileZilla-team mee te nemen in de laatste build.

Wellicht refereer je met "amateurgedoe" naar je eigen programmeerkwaliteiten en de manier waarop je het concept van "Security Through Obscurity" op alles probeert toe te passen.

Feit is dat een gecompromitteerde FTP server vaak gebruikt wordt als pubstro op een of ander warez-BBS, en de reputatie van de hacker in kwestie dus vaak gerelateerd is aan de kwaliteit van de FTP servers die hij aanbiedt. Zoals ik zei hangt het af van de tijd die je bereid bent erin te steken.

This can no longer be ignored.

zondag 26 maart 2006 21:25

Acties:
  • Bor
  • Registratie: Februari 2001
  • Laatst online: 10:13

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

BackSlash32 schreef op zaterdag 25 maart 2006 @ 14:01:
[...]

Ah, security by obscurity dus.
Waarom komt die opmerking in bijna alle beveiligingsgerelateerde onderwerpen terug?

"Security by obscurity is no security at all" geldt alleen wanneer het je enige line of defense is. Niet voor niets staan veel security checklists / hardening guides vol met zaken over het veranderen van host informatie, draaien op andere poorten etc.

Het draaien van FTP op een andere poort dan 21 wanneer je het hebt over een FTP server die alleen voor prive doeleinden gebruikt word of door slechts een zeer beperkt aantal users is een goed idee imho omdat je hiermee de port probes van een zeer groot aantal script kiddies al afvangt.

[ Voor 27% gewijzigd door Bor op 26-03-2006 21:30 ]

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq