[PINGUIN] Attacke auf meinen FTP-Server
Henning Oschwald
listmail at hoschwald.de
Do Jan 31 08:30:44 CET 2008
Guten Morgen,
On Setting Orange, day 30 of Chaos 3174, Hermann wrote:
> heute Mittag hat ein Angreifer ca. 75 Minuten lang versucht, sich anonym
> auf meinen FTP-Server einzuloggen. Im Logfile stehen etwa 2000 Zeilen,
> die das dokumentieren: Einloggversuch, zwei Zeilen mit der Meldung, Dass
> der Versuch abgewiesen wurde, und dann die Schleife von Neuem.
Ja, das passiert schon mal. Ich habe täglich mindestens eine neue IP auf
der Blacklist, von der aus versucht wurde sich mit irgendwelchen
Passwörtern als Root auf meinem Server per SSH einzuloggen.
> Ich kann den Server natürlich abschalten, wenn er nicht benötigt wird,
> aber es muss doch eine Möglichkeit geben, die IP des Angreifers für
> einige Zeit zu sperren.
Klar gibts die, ich weis allerdings nichts davon, daß Vsftpd direkt
sowas bietet.
Ich verwende dafür denyhosts, das bezieht sich allerdings nur auf SSH.
Schau Dir mal fail2ban an, das dürfte was für Dich sein.
,----[ aptitude show fail2ban ]
| Paket: fail2ban
| [...]
| Beschreibung: bans IPs that cause multiple authentication errors
| Monitors log files (e.g. /var/log/auth.log, /var/log/apache/access.log) and
| temporarily or persistently bans failure-prone addresses by updating existing
| firewall rules. The software was completely rewritten at version 0.7.0 and now
| allows easy specification of different actions to be taken such as to ban an IP
| using iptables or hostsdeny rules, or simply to send a notification email.
| Currently, by default, supports ssh/apache/vsftpd but configuration can be
| easily extended for monitoring any other ASCII file. All filters and actions
| are given in the config files, thus fail2ban can be adopted to be used with a
| variety of files and firewalls.
| Homepage: http://www.fail2ban.org
`----
HTH
Henning