• evolution536
  • Registratie: Maart 2009
  • Laatst online: 16-06-2021
Ik draait sinds een tijdje een FTP Server via IIS6, en deze heb ik dichtgezet via windows authentication.

Ik zie de laatste tijd in mijn eventlog dat er mensen in China en Taiwan zijn die proberen op mijn server binnen te dringen. Ik heb het administrator account uitgeschakeld, en een subnet uit Taiwan op de blocklijst gezet.

Ik zie in de eventlog dat er mensen zijn die 10 minuten lang met hetzelfde account proberen om in te loggen, wat iedere keer mislukt. Er staan soms wel 100 of 200 pogingen in 5 of 10 minuten. Ze proberen in te loggen met het Administrator account (wat ik heb uitgeschakeld), of accounts als "alice" wat helemaal op mijn server niet bestaat :+

Tot nu toe zijn alle pogingen mislukt, maar het zijn een soort inlogaanvallen, ddos achtig.

Is er een mogelijkheid in IIS6, om na een x aantal mislukte inlogpogingen met een bepaald account het betreffende IP-adres te blokkeren? Ik heb zitten zoeken maar ik kom op niks uit :(

  • Fish
  • Registratie: Juli 2002
  • Niet online

Fish

How much is the fish

Sja internet ruis he,

Is het niet beter om andersom te doen. Je firewall aanzetten, en de ftp alleen benaderbaar maken voor adressen die bekend zijn?

Iperf


  • kKaltUu
  • Registratie: April 2008
  • Laatst online: 01-06 16:11

kKaltUu

Profesionele Forumtroll

Wij hebben het als volgt:

VBScript die het FTP log in de gaten houd, en hoger dan 4 inlogpogingen geeft voor dat IP address een doodlopende route mee. Behoorlijk simpel iets, maar ook heel erg vies :p

Mocht je er echt niet uitkomen kan je altijd nog een firewall (met een whitelist ) ertussen zetten.

Bovenstaande is mijn post. Lees deze aandachtig, dank u wel voor uw medewerking.


  • Outerspace
  • Registratie: Februari 2002
  • Laatst online: 20:48

Outerspace

Moderator General Chat / Wonen & Mobiliteit

AFX Ghey Edition by HlpDsK

Jack of all trades | Screener | Tweakers Gallery | Spotify!
Zoekt nieuwe collega's in omgeving Twente


  • Paul
  • Registratie: September 2000
  • Laatst online: 18:43
In IIS niet (voor zover ik weet), in (bijvoorbeeld) FileZilla Server wel.

We gebruikten op het werk eerst ook de FTP-server in IIS, maar door diverse beperkingen (o.a. dit dus, maar ook dat alles van Windows users afhangt waardoor die ofwel van alles mogen op je server ofwel je dat weer apart moet gaan dichttimmeren) zijn we overgestapt naar FileZilla, werkt goed.

Whitelisten in de firewall is afhankelijk van je doel vaak geen optie, ik moet er niet aan denken van tientallen klanten een paar honderd IP-adressen bij te moeten houden :P

Edit @ Fish: Je hebt een DM, het kan beiden zonder reboot of zo :P

[Voor 6% gewijzigd door Paul op 08-06-2011 12:19]

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock


  • Fish
  • Registratie: Juli 2002
  • Niet online

Fish

How much is the fish

Filezilla werkt iets tegoed zelf, die moet je rebooten wanneer er iets per ongeluk op de blacklist is gekomen. :P

Maar ik gebruik ook filezilla, een beetje primitive interface maar werkt wel.
En ik heb nog niet door hoe hoe iemand gebruik kan maken van 2 partites onder 1 account.

Iperf


  • evolution536
  • Registratie: Maart 2009
  • Laatst online: 16-06-2021
Ik ga het even uitproberen, het ziet er goed uit, verder nog geen oplossingen kunnen vinden. Dankjewel voor jullie reacties, als er nog meer te vinden is dan graag!

  • evolution536
  • Registratie: Maart 2009
  • Laatst online: 16-06-2021
Ik ben zoiezo dom geweest dat ik helemaal niet wist dat de windows firewall (die overigens toch niet zo veel tegenkracht biedt) niet aan stond. Deze aangezet en excepties toegevoegd.

Ook heb ik dit script gevonden:

http://forums.webhostauto...thread.php?t=12381&page=1

Script B, een script dat via een scheduled task de log doorzoekt, en 10 of meer pogingen bestraft met een ban en een mail stuurt met de melding erin. Het is niet de meest veilige oplossing, maar ik ga even testen of dit i.c.m. de windows firewall voor mij een voldoende oplossing biedt.

Dankjewel voor jullie hulp!

  • _Apache_
  • Registratie: Juni 2007
  • Nu online

_Apache_

For life.

evolution536 schreef op woensdag 08 juni 2011 @ 14:16:
en een mail stuurt met de melding erin.
Dit wil je juist niet, je wilt niet de indruk wekken dat je server nog up en running is.. Dat geeft deze 'hackers' de motivatie om door te gaan.

Tenzij de mail voor je eigen administratie is, niet naar de hacker dan heb ik niets gezegd.

[Voor 13% gewijzigd door _Apache_ op 08-06-2011 14:21]


  • evolution536
  • Registratie: Maart 2009
  • Laatst online: 16-06-2021
_Apache_ schreef op woensdag 08 juni 2011 @ 14:19:
[...]


Dit wil je juist niet, je wilt niet de indruk wekken dat je server nog up en running is.. Dat geeft deze 'hackers' de motivatie om door te gaan.

Tenzij de mail voor je eigen administratie is, niet naar de hacker dan heb ik niets gezegd.
Het is voor eigen administratie, naar mijn eigen mailadres.

  • kKaltUu
  • Registratie: April 2008
  • Laatst online: 01-06 16:11

kKaltUu

Profesionele Forumtroll

Zet dan meteen een rulebased firewalle ertussen met een whitelist.

Als je wil zien hoe wij het hebben gedaan bel mij even.

Bovenstaande is mijn post. Lees deze aandachtig, dank u wel voor uw medewerking.

Pagina: 1


Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee