Zum Inhalt springen

Empfohlene Beiträge

Geschrieben

Moin,

ich habe privat auf meinem Windows XP Pro Rechner einen FTP Server installiert, heute als ich ihn das erste mal für längere Zeit anhatte fiel mir dann nach einigem hinsehen auf das sich jemand versucht hat Zutritt zuverschaffen.

Ich nutze den BPFTP Server in der aktuellsten Form.Ich hab schon so einen "Bann" Schutz und AntiHammer eingeschaltet.

Wie kam der Kerl an meinen Rechner? Hat der da gewisse IP Bereiche nach offenen Ports in meinem Fall Port 21 gescannt und ist auf meinen gekommen?

Ich bin nun auf die Idee gekommen die Ports mal umzustellen wäre das auf Dauer eine sicherere Lösung als Port 21?

Ich mache den FTP Server i.d.R. nur an wenn ich ihn wirklich brauche, läuft nicht als Dienst nur als Anwendung hinter einem Router und einer Personalfirewall (wo dementsprechend die Ports weitergeleitet, und Regeln erstellt wurden). Sicherheitsbedenken bezgl. Bugs habe ich eigentlich keine, da ich bisher nie von derartigen Lücken im Bulletproof FTP Server gehört habe.

(000014) 12.09.2007 22:08:11 - (not logged in) (85.135.18.18) > connected to ip : 192.168.0.2

(000014) 12.09.2007 22:08:11 - (not logged in) (85.135.18.18) > sending welcome message.

(000014) 12.09.2007 22:08:11 - (not logged in) (85.135.18.18) > 220 Welcome to the musterserver.ath.cx

(000014) 12.09.2007 22:08:30 - (not logged in) (85.135.18.18) > USER Administrator

(000014) 12.09.2007 22:08:30 - (not logged in) (85.135.18.18) > 331 Password required for Administrator.

(000014) 12.09.2007 22:08:30 - (not logged in) (85.135.18.18) > PASS ********

(000014) 12.09.2007 22:08:30 - (not logged in) (85.135.18.18) > 530 Login or Password incorrect.

(000014) 12.09.2007 22:08:31 - (not logged in) (85.135.18.18) > USER Administrator

(000014) 12.09.2007 22:08:31 - (not logged in) (85.135.18.18) > 331 Password required for Administrator.

(000014) 12.09.2007 22:08:31 - (not logged in) (85.135.18.18) > PASS ********

(000014) 12.09.2007 22:08:31 - (not logged in) (85.135.18.18) > 530 Login or Password incorrect.

(000014) 12.09.2007 22:08:32 - (not logged in) (85.135.18.18) > USER Administrator

(000014) 12.09.2007 22:08:32 - (not logged in) (85.135.18.18) > 331 Password required for Administrator.

(000014) 12.09.2007 22:08:33 - (not logged in) (85.135.18.18) > PASS ********

(000014) 12.09.2007 22:08:33 - (not logged in) (85.135.18.18) > 530 Login or Password incorrect.

(000014) 12.09.2007 22:08:33 - (not logged in) (85.135.18.18) > USER Administrator

(000014) 12.09.2007 22:08:33 - (not logged in) (85.135.18.18) > 331 Password required for Administrator.

(000014) 12.09.2007 22:08:37 - (not logged in) (85.135.18.18) > PASS ********

(000014) 12.09.2007 22:08:37 - (not logged in) (85.135.18.18) > 530 Too many USER/PASS attempts. Disconnecting.

(000014) 12.09.2007 22:08:37 - (not logged in) (85.135.18.18) > disconnected.

Laut diesem Logauszug kam der User nicht rein sehe ich das richtig?! ich habe den Server eigentlich so eingestellt, das er nach 3maligem Fehleingabe des Passworts erstmal ein "Kicken der IP" durchgeführt wird. Das war wohl der Fehler, ich hätte gleich auf Bann stellen sollen.

Die IP kommt laut einem Trace aus CZ, also war es auch kein Bekannter der sich nur einen dummen Scherz erlauben wollte, es sei denn auf dieser IP läuft ein Proxy.

Kleine Tips zur allgemeinen Absicherung wären ganz nett :).

Viele Grüße aus Hamburg

Georg

Geschrieben

Wie kam der Kerl an meinen Rechner? Hat der da gewisse IP Bereiche nach offenen Ports in meinem Fall Port 21 gescannt und ist auf meinen gekommen?

ER kam vermutlich durchs Internet. ;-) Wie er an deine IP kommt ist unklar (vermutlich ein Scan). Ein IP-Scan mit Passwort-Bruteforce ist keine Seltenheit, sondern ein oft vorkommendes Übel.

Ich bin nun auf die Idee gekommen die Ports mal umzustellen wäre das auf Dauer eine sicherere Lösung als Port 21?

Ja, weil die meisten Port-Scanner meist nur die Standardports abscannen. Eine Portänderung kann man machen. Muss man aber nicht. Wenn dann such dir am besten etwas exotisches aus. Um auf den Port zu kommen, müssten sie einen kompletten Port-Scan durchführen. Oder ein gekapertes Programm benutzt zufällig den gleichen Port. Allerdings solltest du dir keine Gedanken darum machen, solang das Passwort "sicher" ist. Ich würde an deiner Stelle noch den Administrator ggf. umbennen. Dann haben die bösen Leute gar keinen Ansatz mehr.

Laut diesem Logauszug kam der User nicht rein sehe ich das richtig?! ich habe den Server eigentlich so eingestellt, das er nach 3maligem Fehleingabe des Passworts erstmal ein "Kicken der IP" durchgeführt wird. Das war wohl der Fehler, ich hätte gleich auf Bann stellen sollen.

Jap, das siehst du richtig.

Welche Firewall benutzt du? Einige Desktop-Firewalls (Outpost weiß ich gerade) erkennen solche Angriffe und sperren diese.

Die IP kommt laut einem Trace aus CZ, also war es auch kein Bekannter der sich nur einen dummen Scherz erlauben wollte, es sei denn auf dieser IP läuft ein Proxy.

Würde dein Bekannter wirklich versuchen bei dir "einzubrechen" und verschiedene Passwörter innerhalb von Sekunden ausprobieren? Es war ein Brute-Force versuch.

Wegen einem Fehler in BFTP:

Augen auf und das Programm aktuell halten sollte helfen. :-)

Sorry für den unterschwelligen Sarkasmus. Eben noch Dr. House geschaut. :old

Mit freundlichen Grüßen,

Cadpax

Geschrieben

Hey,

mit den Ports werd ich das mal probieren, die letzte Programmversion ist noch von 2004 wie ich gesehen habe. Ich werde nun auf Filezilla FTP Server umstellen.

Was ne Bruteforce Attacke ist weiß ich;), und das der Angreifer nicht durch das CD Laufwerk kommt konnte ich mir auch ausrechnen. Waren meine Vermutungen mit dem Port Scan dann doch ganz sinnvoll.

Fazit: Ich werde auf FileZilla umstellen, einen schönen Port suchen und dann dementsprechend noch die Kick/Block Funktionen konfigurieren, ich hoffe damit sollte sich das Problem dann in Zukunft behoben haben.

Schönen Abend

Gruß aus HH

Geschrieben

Sollten. Kann allerdings immer mal wieder vorkommen, wenn mal jemand den Port aus irgendeinem Grund findet, dass gescannt wird.

Wiegesagt. Keine Stino-Namen nehmen (root, admin, Administrator u.s.w.). Und ein sicheres Kennwort. Wenn sich einer wirklich für das Konto interessiert, ist Brute-Force (mit Zeit und Arbeitsaufwand) möglich, wenn du nicht ab und zu mal in die Logs schaust. Und wenn möglich den Daemon nicht angeben lassen, damit niemand einen Ansatz hat, um nach Sicherheitslücken zu suchen.

Gibt also noch einiges worauf man achten könnte.

Mit freundlichen Grüßen,

Cadpax

Geschrieben

Morgen,

ich hab jetzt einen Port gewählt der in den Tausendern liegt, und Accountnamen gewählt auf die Niemand kommen kann.

Bruteforce ist auch ausgeschlossen wegen der Bannregeln, es sei denn der Angreifer wechselt alle Sekunde seine IP. Aber wenn der FTP an ist hab ich ihn eh imme rim Blickfeld daher sollte das jetzt auch in Ordnung sein.

Thread kann dicht gemacht werden

Vielen Dank nochmal @Cadpax...

Gruß aus Hamburg

Georg

  • 4 Wochen später...
Geschrieben

Wow... Vorsicht.

Den FTP-Server auf einem anderen Port laufen zu lassen nennt man "security by obscurity". Das ist, wie Deinen Haustürschlüssel im Gebüsch neben der Haustür statt unter der Fußmatte, wie es alle anderen in der Nachbarschaft tun, zu verstecken. Im besten Fall kostet es einen Eindringling ein paar Minuten mehr, den Schlüssel zu finden. Sorry, Cadpax, ich muss Dir da widersprechen. Einen Sicherheitsgewinn bringt das kaum. Das mal vorweg.

"Tips zur allgemeinen Absicherung" - hmmmm

Wie er auf Deinen Server gekommen ist... Es ist kein Problem, ein Script zu schreiben, das wild durch die Bank im Internet nach offenen Services scannt und, sobald es irgend etwas gefunden hat, einen Portscan durchführt. Mit etwas Feingefühl und Geduld geht das auch, ohne dass ein IDS anspringt.

Einen FTP-Server offen im Internet zu betreiben ist so eine Sache... lohnt sich das Risiko? Oder anders gefragt, kannst Du die gleiche Funktionalität mit vertretbarem Mehraufwand auch anders erreichen? Ich weiß natürlich nicht, was Du erreichen willst. Sollen viele Nutzer, die vorher nicht bekannt sind, Files hochladen dürfen? Oder sollen nur manchmal bekannte Personen Zugriff bekommen?

Im Allgemeinen würde ich sowieso für SFTP statt FTP plädieren. FTP ist komplett unverschlüsselt, inklusive Authentifikation. Was man darüber hinaus noch machen kann ist vielfältig. Per firewall und tcp-wrapper nur die clients zulassen, die man kennt, ist extrem wirkungsvoll, aber bei dynamischen IPs muss man sich da eine gute Lösung überlegen. Port knocking ist außerdem eine sehr vielversprechende Möglichkeit, aber dazu muss man die User kennen und Ihnen das Konzept beibringen. VPN ist wieder ein eigenes Thema.

Geschrieben
Den FTP-Server auf einem anderen Port laufen zu lassen nennt man "security by obscurity". Das ist, wie Deinen Haustürschlüssel im Gebüsch neben der Haustür statt unter der Fußmatte, wie es alle anderen in der Nachbarschaft tun, zu verstecken. Im besten Fall kostet es einen Eindringling ein paar Minuten mehr, den Schlüssel zu finden. Sorry, Cadpax, ich muss Dir da widersprechen. Einen Sicherheitsgewinn bringt das kaum. Das mal vorweg.

Eben doch! Hierbei gehe ich allerdings nicht von einem gezielten Angriff auf den Server aus, sondern einen Range-Scan/Angriff. Es gibt viele Tools die speziell nach FTP Servern auf Standard Ports scannen und schauen, ob man da reinkommt. (Anonymous, bekannte Admin/root Passwörter, evtl. bekannte Sicherheitslücken (evtl. läuft ja ein betroffener Server)). So entgeht man diesem Risiko, und wenn es auch nur dazu dient, dass man nicht mehr in FTP-Server-Listen gelistet wird.

Wie er auf Deinen Server gekommen ist... Es ist kein Problem, ein Script zu schreiben, das wild durch die Bank im Internet nach offenen Services scannt und, sobald es irgend etwas gefunden hat, einen Portscan durchführt. Mit etwas Feingefühl und Geduld geht das auch, ohne dass ein IDS anspringt.

Ich würde ganz gerne mal wissen, wie du nach offenen Services scannst. :old

Im Allgemeinen würde ich sowieso für SFTP statt FTP plädieren. FTP ist komplett unverschlüsselt, inklusive Authentifikation. Was man darüber hinaus noch machen kann ist vielfältig. Per firewall und tcp-wrapper nur die clients zulassen, die man kennt, ist extrem wirkungsvoll, aber bei dynamischen IPs muss man sich da eine gute Lösung überlegen. Port knocking ist außerdem eine sehr vielversprechende Möglichkeit, aber dazu muss man die User kennen und Ihnen das Konzept beibringen. VPN ist wieder ein eigenes Thema.

Sicher wäre SFTP eine alternative. Wobei der Service wieder komplett anders aufzusetzen ist. Ich tendiere da eher zu FTPS. Der Vorteil ist natürlich, dass man keinen speziellen Client braucht, weil das nahezu jedes FTP fähige Programm beherrscht. SFTP wiederrum ist anders aufgebaut und bedeutet zusätzliche Software für den Client. Hier ist es wieder ermessens Sache, ob man sich immer wieder die Mühe machen will, und dem gegenüber erklären mag, warum er nun ein neues Programm braucht.

Mit freundlichen Grüßen,

Cadpax

Geschrieben

logfile in realtime auswerten - wenn mehr als X fehlversuche sind ip über eine firewall aussperren :)

schade nur dass es sich um XP handelt. unter linux wäre das mega einfach umzusetzen. iptables als firewall und ein shellscript das per cronjon immer wieder mal läuft.

auf dauer sicher eine sinnvolle lösung gegen bruteforce.

nur nicht vergessen die ip X nach X zeiteinheiten wieder freizugeben :)

Gruß

FiAe

Geschrieben
logfile in realtime auswerten - wenn mehr als X fehlversuche sind ip über eine firewall aussperren :)

schade nur dass es sich um XP handelt. unter linux wäre das mega einfach umzusetzen. iptables als firewall und ein shellscript das per cronjon immer wieder mal läuft.

auf dauer sicher eine sinnvolle lösung gegen bruteforce.

nur nicht vergessen die ip X nach X zeiteinheiten wieder freizugeben :)

Gruß

FiAe

Das kann fast jeder FTP-Daemon. Nennt sich AntiHammer. Und eine ordentliche Windows-Firewall kann man auch darauf konfigurieren.

Mit freundlichen Grüßen,

Cadpax

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...