error log asus wl 700ge - Netwerken

vrijdag 16 januari 2009 18:37

Acties:

Topicstarter

mijn log file van mijn router staat vol met:
Jan 16 17:53:52 vsftpd: Fri Jan 16 16:53:52 2009 [pid 504] [test] FAIL LOGIN: Client "209.134.25.137"
Jan 16 17:53:52 vsftpd: Fri Jan 16 16:53:52 2009 [pid 504] [test] FAIL LOGIN: Client "209.134.25.137"
Jan 16 17:53:53 vsftpd: Fri Jan 16 16:53:53 2009 [pid 504] [test] FAIL LOGIN: Client "209.134.25.137"
01 2009 [pid 504] [guest] OK LOGIN: Client "209.134.25.137"
Jan 16 17:55:01 vsftpd: Fri Jan 16 16:55:01 2009 [pid 22844] [guest] FAIL RMDIR: Client "209.134.25.137", "/sarcaxxo"

heeft iemand een idee wat dit precies inhoud??
het lijkt me dat iemand vanaf wan toegang tot mijn router wil?

vrijdag 16 januari 2009 19:03

Acties:

Exorcist

Uitdrijvûrrrr!

Iemand met dat IP probeert je FTP server te benaderen/ erop in te loggen, zoals ik het zie.

vrijdag 16 januari 2009 19:30

Acties:

akatar

Topicstarter

dat idee had ik ook al een beetje... maar ik draai geen ftp. alles op de router staat uit
01 2009 [pid 504] [guest] OK LOGIN: Client "209.134.25.137 <-- en dit houd in dat de login gelukt is???

vrijdag 16 januari 2009 19:32

Acties:

Exorcist

Uitdrijvûrrrr!

Vsftpd is een bestaande FTP server-service, en ja, de guest login lijkt dan geslaagd te zijn. Echt nergens dat draaien dan? Zou het niet anders kunnen verklaren..

vrijdag 16 januari 2009 19:35

Acties:

akatar

Topicstarter

het feit dat het in de logfiles van de router staat houdin (denk ik) dat het de ftp server van de router zelf moet zijn. en nogmaals gechecked dat alles uit staat. van file sharing (is router met ingebouwde harde schijf asus wl700ge) tot torrentdownload. wan access staat uit, ignore wan etc.

vrijdag 16 januari 2009 19:37

Acties:

Exorcist

Uitdrijvûrrrr!

Het is inderdaad de interne FTP service van je router, zo vond ik het net althans. Gooi anders poort 21 op dat ding dicht.

vrijdag 16 januari 2009 19:42

Acties:

akatar

Topicstarter

goed idee. doe ik direct. badankt voor het meedenken (lees: oplossing)

zaterdag 17 januari 2009 13:03

Acties:

winux

Dat ip adres is volgens mij een gehackte server, want ben dat namelijk al vaker tegengekomen dat deze probeert in te loggen op een ftp server.

zaterdag 17 januari 2009 13:35

Acties:

akatar

Topicstarter

dat ip nummer staat inmiddels al geblocked evenals poort 20/21.
volgende ip wat een connectie heeft gemaakt (alsnog door een ftp) is 206.117.137.102
ook maar geblocked.

zaterdag 17 januari 2009 21:57

Acties:

winux

akatar schreef op zaterdag 17 januari 2009 @ 13:35:
dat ip nummer staat inmiddels al geblocked evenals poort 20/21.
volgende ip wat een connectie heeft gemaakt (alsnog door een ftp) is 206.117.137.102
ook maar geblocked.

Schiet lekker op zo. Zo kan je bezig blijven.

Waarom reageren de ISP's daar niet op als ze elke seconde en FTP verbinding zien gebeuren vanaf dat ding.

zaterdag 17 januari 2009 22:09

Acties:

Exorcist

Uitdrijvûrrrr!

akatar schreef op zaterdag 17 januari 2009 @ 13:35:
dat ip nummer staat inmiddels al geblocked evenals poort 20/21.
volgende ip wat een connectie heeft gemaakt (alsnog door een ftp) is 206.117.137.102
ook maar geblocked.

Besteed er verder geen aandacht aan, dan blijf je bezig. Ik heb een draaiende FTP server, en krijg per uur een stuk of 3/4 IP adressen die binnen willen komen. Bullet blokkeert die zelf, maar het maakt verder niet uit.

zaterdag 17 januari 2009 22:36

Acties:

Koffie

Koffiebierbrouwer

Braaimeneer

winux schreef op zaterdag 17 januari 2009 @ 21:57:
[...]

Schiet lekker op zo. Zo kan je bezig blijven.

Waarom reageren de ISP's daar niet op als ze elke seconde en FTP verbinding zien gebeuren vanaf dat ding.

Omdat de ISP's echt niet een mannetje hebben zitten die naar de monitor zit te kijken

Je zou dan kunnen zeggen 'OK, een mechanisme wat de logfiles uitleest om de verbindingen te controleren'
Echter zulk soort logging is voor een ISP behoorlijk CPU intensief werk, en als ze echt in de streams zouden moeten duiken (iets wat elke seconde met iets connect is niet per definitie een worm oid) om te kijken of het een login poging op een bepaalde service is en of het antwoord dan DENIED is.

Oftewel : leuk idee maar niet uitvoerbaar.

Tijd voor een nieuwe sig..

zondag 18 januari 2009 11:57

Acties:

akatar

Topicstarter

Exorcist schreef op zaterdag 17 januari 2009 @ 22:09:
[...]

Besteed er verder geen aandacht aan, dan blijf je bezig. Ik heb een draaiende FTP server, en krijg per uur een stuk of 3/4 IP adressen die binnen willen komen. Bullet blokkeert die zelf, maar het maakt verder niet uit.

het gaat mij meer om het feit dat in mijn router alles uitstaat en dat dan mijn router toch blijkbaar toestaat om een ftp verbinding te maken.

[ Voor 5% gewijzigd door akatar op 18-01-2009 11:57 ]

dinsdag 20 januari 2009 12:15

Acties:

akatar

Topicstarter

ook al zet je poort 21 uit in de router hij blijft open staan:
21
FTP
OPEN! FTP servers have many known security vulnerabilities and the payoff from exploiting an insecure FTP server can be significant. This system's open FTP port is inviting intruders to examine your system more closely.

dinsdag 20 januari 2009 13:01

Acties:

Exorcist

Uitdrijvûrrrr!

akatar schreef op dinsdag 20 januari 2009 @ 12:15:
ook al zet je poort 21 uit in de router hij blijft open staan:
21
FTP
OPEN! FTP servers have many known security vulnerabilities and the payoff from exploiting an insecure FTP server can be significant. This system's open FTP port is inviting intruders to examine your system more closely.

Hoe test je dit als ik vragen mag?

dinsdag 20 januari 2009 13:14

Acties:

akatar

Topicstarter

op www.grc.com dan kun je kiezen voor shields up.
meeste poorten staan in stealth. 443 niet (zelf opengezet) en 21 krijg ik blijkbaar niet dicht

[ Voor 49% gewijzigd door akatar op 20-01-2009 13:15 ]