Toon posts:

[FTP] is inbraak poging een standaard exploit

Pagina: 1
Acties:
  • 81 views sinds 30-01-2008

zondag 23 juni 2002 11:43

Acties:
  • TD-er
  • Registratie: Januari 2000
  • Laatst online: 16-06 19:34

TD-er

Topicstarter
Ik heb nu al 2x live meegemaakt, dat iemand probeerde op mijn servertje in te breken, via FTP.
Dit merkte ik, doordat de HDD enorm druk bezig was (logfiles wegschrijven)
Binnen 5 minuten had je dan zo'n 500 entries, zoals de volgende in de logfiles staan.
code:
1
2
3
4
5

Jun 20 15:32:20 cc12345-a ftpd[21739]: ACCESS DENIED (not in any class) 
TO 127.0.0.1 [127.0.0.1]
Jun 20 15:32:20 cc12345-a ftpd[21739]: FTP LOGIN REFUSED (access denied) 
FROM 127.0.0.1 [127.0.0.1], ftp
Jun 20 15:32:20 cc12345-a ftpd[21739]: FTP session closed

Ik laat het IP-adres van die gast er gewoon in staan, alleen mijn eigen hostname heb ik ff wat aangepast.
Zo heb ik al meerdere IP-adressen geblocked, die allemaal op dezelfde manier wilden inbreken (500 FTP sessies starten, vind ik geen gewoon gebruik)

Is het idee hierachter dat je inetd overbelast en dat 'ie mischien dan rare dingen gaat doen ofzo? Of is dit een standaard manier van een of ander script-kiddie-script om gaten in de beveiliging te vinden.

Nog vreemder vind ik dat dit soort dingen vrij vaak voorkomen vanuit alle delen van de wereld, op mijn eigen kabelmodem accountje hier in Groningen. Wat denken ze hier te vinden :?
Voor de zekerheid heb ik FTP van buiten maar ff dicht gezet.

Heeft er iemand meer ervaring mee?

Een goedkope voeding is als een lot in de loterij, je maakt kans op een paar tientjes korting, maar meestal betaal je de hoofdprijs. mijn posts (nodig wegens nieuwe layout)

zondag 23 juni 2002 12:31

Acties:
  • morphje
  • Registratie: Juni 2001
  • Laatst online: 04-06 23:07

morphje

let's all love lain

Klinkt meer als een bruteforce achtig iets.
Maar geef es watmeer info. OS, ftpd, enz

Je kan natuurlijk ook je firewall zo instellen dat als hij een bepaalde drempel (threshold) overschreid dat dat IP tijdelijk geblocked word. Dit is een van de functies van iptables bijvoorbeeld. Zodra hij weer onder de miimale limiet komt word de service voor dat IP weer vrijgegeven.

zondag 23 juni 2002 12:44

Acties:

Verwijderd

Ik heb toevallig gisteravond ook zoiets gehad, iemand die een dictionary attack uitvoert om gebruikers zonder passwd te vinden. In principe is het vrij onschuldig aangezien al je gebruikers toch goede wachtwoorden gebruiken (toch?). Een manier om het 'hammeren' wat lastiger te maken is een maximum aantal verbindingen per ip in te stellen, ook een delay bij het inloggen kan helpen. Kijk maar ff in je ftp-docu hoe je dat kan doen.

zondag 23 juni 2002 18:42

Acties:
  • TD-er
  • Registratie: Januari 2000
  • Laatst online: 16-06 19:34

TD-er

Topicstarter
dat van die delay bij meerdere connecties/tijd is een goed idee.
Ik moet binnenkort mijn bak toch eens onderhanden nemen
Het is begonnen als RH5.0 install en d'r zitten nu nog dingen van die install in.
Kernel is 2.2.16-22 (RH kernel)
FTPd is wu-2.6.1(1)
En d'r ligt nog wat hardware te wachten om ingebouwd te worden.

Ze proberen echter allemaal met als usernaam "ftp" in te loggen, althans zo lijkt het.
En ik neem aan dat alle users een goed wachtwoord gebruiken, anders gaat de machine wel zeuren, wanneer het te veel lijkt op een bestaand woord.
Alleen mijn vriendin heeft een wat minder complex wachtwoord, maar probeer haar usernaam maar eens te raden ;)

Een goedkope voeding is als een lot in de loterij, je maakt kans op een paar tientjes korting, maar meestal betaal je de hoofdprijs. mijn posts (nodig wegens nieuwe layout)

zondag 23 juni 2002 19:18

Acties:

Verwijderd

Vrij logisch, je hebt altijd van die mensen die scannen Uni's. Wanneer er een ftp draait proberen ze die shit te cracken, wanneer dat lukt dumpen ze er een hoop shit op en posten ze het op een board...

zondag 23 juni 2002 19:40

Acties:
  • TD-er
  • Registratie: Januari 2000
  • Laatst online: 16-06 19:34

TD-er

Topicstarter
Ja dat weet ik, maar wat heeft het voor zin om kabelgebruikers te hacken om dingen op te posten. Die dingen hebben vrijwel nooit een interessante upload.
Of is het omdat de meeste kabel-modem-gebruikers vrijwel niets aan de security doen, zodat ze stoer kunnen zeggen dat ze een bak hebben gehacked en mischien klinkt het in Japan heel stoer om te zeggen dat ze een bak in NL hebben kunnen hacken :? een andere poging werd vanuit Japan gedaan

Een goedkope voeding is als een lot in de loterij, je maakt kans op een paar tientjes korting, maar meestal betaal je de hoofdprijs. mijn posts (nodig wegens nieuwe layout)

zondag 23 juni 2002 22:54

Acties:
  • Roelant
  • Registratie: Januari 2001
  • Niet online

Roelant

Op zondag 23 juni 2002 11:43 schreef TD-er het volgende:
Ik laat het IP-adres van die gast er gewoon in staan, alleen mijn eigen hostname heb ik ff wat aangepast.
En dat is stijlloos :(

Ik heb de IP-adressen vervangen, gelieve volgende keer *zelf* de privacy van derden in acht te nemen, anders levert het je een officiële waarschuwing op.

Overigens denk ik dat het enige mogelijke antwoord op "wat doe ik hier aan" je ftp uitzetten is, scans zijn aan de orde van de dag, en daar doe je niets aan. Als je bang bent voor exploits moet je zorgen voor een fatsoenlijke ftp-deamon, en verder gewoon zorgen dat de server (OS) van de nieuwste beveiligingspatches is voorzien.

Allemaal dingen die je best zelf kan verzinnen, en wat dat betreft is dit topic echt beneden het niveau van network troubleshooting.
Pagina: 1

Dit topic is gesloten.