Homeserver Forum

Moin²...,

habe einen FTP Server auf meinem WHS ..nun schaue ich täglich in das Logfile des FTP Servers und was sehe ich da ...ständig versucht jemand auf den FTP Server zuzugreifen ....über Stunden versucht jemand sich als Admin anzumelden was er aber nicht hinbekommt ...(wird auch schwer ...ist ein 12stelliges Passw. mit Sonderzeichen) ..jemand ne Idee wie ich dagegen vorgehen kann ...? (der (die) Typ(en) wechseln ständig die IP ...werden nach 2 mal falsch eingeg. Passw. 1,5 std ausgesperrt) ...

Danke im voraus

r4ce

Hmmm,

ich glaube nicht, dass du da großartig was machen kannst, wenn du den Server beibehalten willst. Die wechseln ja auch die IP und du selbst willst ja wahrscheinlich auch von überall darauf Zugriff haben.


ahgloom

also weiter heiter zuschauen ...wie er versucht den FTP zu hacken ...?!

überlege schon ihm einen Acc. mit Administrator anzulegen ...mit 0,0 Rechten ...nur einer kleinen TXT Datei ....mit Inhalt FUCK YXX oder so ...

Hi,
bin zwar noch nicht betroffen - kann ja noch kommen "g"

überlege dem Zugang ins Heimnetz eine Website mit entsprechendem Login und sich dann öffnender Weiterleitung vorzuschalten.
gehostet würde das dann über nen Webspace von nem Freemailprovider.

die Zugangsdaten und Zertifikate für Berechtigte würden entsprechend turnusmäßig verteilt.

das Ganze behebt leider nicht das Problem, baut aber eine weitere Hürde auf. Ist halt nur ein blöder Wettlauf.
um die logindaten bequemer bei mir zu haben verwende ich einen CodeMeter-USB-Stick - funzt prächtig.

werde mich melden sobald ichs am laufen hab

Gruß Armin

r4ce hat geschrieben:Moin²...,

habe einen FTP Server auf meinem WHS ..nun schaue ich täglich in das Logfile des FTP Servers und was sehe ich da ...ständig versucht jemand auf den FTP Server zuzugreifen ....über Stunden versucht jemand sich als Admin anzumelden was er aber nicht hinbekommt ...(wird auch schwer ...ist ein 12stelliges Passw. mit Sonderzeichen) ..jemand ne Idee wie ich dagegen vorgehen kann ...? (der (die) Typ(en) wechseln ständig die IP ...werden nach 2 mal falsch eingeg. Passw. 1,5 std ausgesperrt) ...

Danke im voraus

r4ce

bin mir ja nicht sicher ob das bei einem home server ohne weiteres geht, aber "administrator" sollte eigentlich kein gültiger benutzername sein. wenn man den umbenennt, hat es der angreifer gleich doppelt so schwer. ansonsten kannst du tatsächlich gemütlich zuschauen, wenn man nach 2 fehlversuchen ausgesperrt wird, ist es mehr als unwahrscheinlich in vertretbarer zeit zu einem ergebnis zu kommen. dagegen ist es kaum möglich mit vertretbaren mitteln eine absicherung zu bauen, hier kommt dann eine "richtige" firewall ins spiel.
aber die frage ist doch, wie finden die deinen server eigentlich immer? hast du eine dyndns-adresse? die könntest du ja wechseln, wenn es dir so wichtig ist, und schon bist du das "problem" los...

Hi
Ist doch egal , weil wenn er das Programm Brutus benutzt was ich früher benutzt hatte , probiert das Programm einfach Millionen von Konfigurationen aus.
Also wird er nie das passwort bekommen weil er ja nach 2 mal falsch ausgespwert wird und er bräuchte über 20000 (ca.) Jahre ums rauszubekommen.

Rechnung :
AlleBuchstaben und Sonderzeiten+Zahlen Hoch z.B. 104 dann ist die Rechnung 104x 104hoch104 und da kommen mehr als paar trillionen raus
Ich würd mir keine Sorgen machen...

Hallo,

ich würde da generell mal über eine echte Firewall nachdenken, die solche Pakte ganz einfach droped. es gibt da auch kostenlose Firewalls, die mit wenig Resourcen auf einem extra Rechner auskommen: Ich kenne da IPCOP, völlig kostenlos mit ein paar Addons sogar Spam- und Virenabwehr (ClamAV u n d FPROT), als weitere FW wäre da Endian zu nennen, ist eine FW auf der Basis von IPCOP, ich selber nutze ASTARO 7.101 als Homelizenz (auch kostenfrei) auf einem extra Rechner, auf dem nur die FW läuft (Athlon XP 3500+ nForce 3 Board + 2 GB RAM und 60 GB HDD). Das war so Hardware, die hier bei mir noch übrig war. IPCOP läuft aber mit weitaus weniger anspruchsloser Hardware. Von ASTARO sollte auch noch die Version 6 verfügbar sein, die benötigt weniger Resourcen und läuft auch mit einer 7er Homelizenz. Bei der 6er reicht 1 GB RAM, die 7er fährt man besser mit 2 GB RAM.
Da kann man dann im Paketfilter solche Versuche von vornherein droppen.
Das Konzept der Anmeldung am WHS über Port 80, 443 und 4125 von "außen" ohne VPN finde ich schon bedenklich.
Die genannten FW beherrschen alle Remoteeinwahl über VPN, wobei die FW selbst als Einwahlserver fungiert und den einwählenden Rechner via VPN ins Netzwerk integriert. Das kann ich dann auch mit DynDNS lösen und habe sicheren und verschlüsselten Zugriff auf mein gesamtes Netzwerk.

Aber das muß jeder User für sich selbst ausmachen, bitte versteht meinen beitrag nur als Vorschlag und Anregung.

Viele Grüße
Egbert

r4ce hat geschrieben:Moin²...,

habe einen FTP Server auf meinem WHS ..nun schaue ich täglich in das Logfile des FTP Servers ...

Welchen FTP-Server benutzt Du eigentlich? Ich habe den eingebauten (IIS) konfiguriert. Weiss jemand, wo ich da die Logfiles finde?
Gruß - Tiger

Hatte eine Testversion von Serv-U ...wollte aber nochmal Filezilla testen

Kannst ja auch nochmal den eingebauten IIS probieren - war letztendlich auch sehr einfach (siehe viewtopic.php?f=11&t=973&hilit= -> bis zum Ende lesen).
Gruß - Tiger

HAAAAAHHH - bei mir auch!!!

Auch bei mir hat jemand versucht, mit Administrator hereinzukommen. Die IP-Adresse zeigt nach.... China - yep! Changchun Finance College - ich glaub's nicht!!!

Allerdings werde ich aus dem Log-file nicht schlau. Was bedeutet:

15:01:08 219.217.64.200 [1]USER Administrator 331 0
15:01:09 219.217.64.200 [1]PASS - 530 1326

War er drinne, oder nicht? Ist 1326 der code für unsuccessful? Mann, mann. Allerdings ist das bei mir bisher nur am 07.01. passiert. Der Spuk hat 41min gedauert.

Bei mir läuft der eingebaute IIS als FTP-Server. Kann man dort auch die maximale Zahl an Unsuccessful Logins einstellen?

Heute schonwieder!! Diesmal von IP 210.3.33.174 - aus Hongkong, 24 Minuten lang, 3x pro Sekunde, alle 2-3 Sekunden...

Ich glaube, ich nehme meinen FTP-Server wieder vom Netz...

Naja ...wenn ich das soo lese, werde ich wohl auch keinen FTP Server mehr auf meinem WHS installieren ...bei Serv-U kannst schön einstellen ...nach x mal Passwort falsch ...99min die IP ausperren ... aber Serv-U kostet mal eben 50€

Einfach den FileZilla-Server installieren ... dort kann man einstellen, nach wievielen vergeblichen Versuchen die IP gebannt wird. In meinem Fall: 3 gescheiterte Zugriffe -> 24 Stunden IP-Ban. Spätestens nach 23:59 Stunden habe ich eh eine neue IP ... da soll der "Angreifer" mich erstmal wiederfinden

Andy hat geschrieben:Einfach den FileZilla-Server installieren ... dort kann man einstellen, nach wievielen vergeblichen Versuchen die IP gebannt wird. In meinem Fall: 3 gescheiterte Zugriffe -> 24 Stunden IP-Ban. Spätestens nach 23:59 Stunden habe ich eh eine neue IP ... da soll der "Angreifer" mich erstmal wiederfinden

Ganz einfach:
ping dein.homeserver.com

und schon hat er die IP wieder

Gruß,
Thorsten