abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    včera 00:55 | Nová verze

    Byla vydána nová verze 7.0 open source komunikační platformy Mattermost (Wikipedie). Podrobnosti v dokumentaci. Zdrojové kódy jsou k dispozici na GitHubu.

    Ladislav Hagara | Komentářů: 5
    včera 00:33 | IT novinky

    Adventura VirtuaVerse je na portále GOG.com zdarma, akce trvá do 27. června.

    Fluttershy, yay! | Komentářů: 0
    24.6. 14:22 | IT novinky

    Amazon představil našeptávač kódu Amazon CodeWhisperer. Jedná se o alternativu k GitHub Copilot.

    Ladislav Hagara | Komentářů: 1
    23.6. 09:00 | Nová verze

    Byla vydána verze 12.0.0 nástroje pro vytváření a úpravu snímků obrazovky Flameshot (GitHub) postaveného nad frameworkem Qt. Přehled novinek i s náhledy v poznámkách k vydání Instalovat lze také ze Snapcraftu a Flathubu.

    Ladislav Hagara | Komentářů: 11
    23.6. 08:00 | IT novinky

    Vyhledávač Brave Search slaví první rok své existence a představuje Goggles. Za rok bylo zodpovězeno 2,5 miliardy dotazů. Nové Goggles umožňují vytvářet a sdílet vlastní sady pravidel a filtrů pro výsledky vyhledávání.

    Ladislav Hagara | Komentářů: 13
    23.6. 07:00 | IT novinky

    Twitter testuje Poznámky (Notes). Tweet může mít 280 znaků, původně jenom 140. Poznámka může mít až 2 500 slov.

    Ladislav Hagara | Komentářů: 0
    22.6. 14:44 | Nová verze

    Byl vydán Zoom Client pro Linux 5.11.0 (3540). Mimo jiné řeší sdílení obrazovky na Waylandu. Nejnovější Zoom Client by se měl brzy objevit také na Flathubu (GitHub).

    Ladislav Hagara | Komentářů: 17
    22.6. 09:00 | IT novinky

    Příspěvek na blogu GitHubu informuje, že před rokem představený GitHub Copilot je již přístupný všem. Za 10 dolarů měsíčně nebo 100 dolarů ročně. Pro ověřené studenty a správce populárních open source projektů zdarma.

    Ladislav Hagara | Komentářů: 9
    22.6. 08:00 | IT novinky

    Společnost Espressif Systems oficiálně představila ESP32-C5. Nový člen rodiny SoC ESP32 má 32bitové RISC-V jádro a podporuje dual-band Wi-Fi 6 a Bluetooth 5 (LE).

    Ladislav Hagara | Komentářů: 0
    21.6. 23:22 | Nová verze

    Google Chrome 103 byl prohlášen za stabilní. Nejnovější stabilní verze 103.0.5060.53 přináší řadu oprav a vylepšení (YouTube). Opraveno bylo 14 bezpečnostních chyb. Vylepšeny byly také nástroje pro vývojáře (YouTube).

    Ladislav Hagara | Komentářů: 0
    Na sociálních sítích nebo jiných webových diskuzích vystupuji pod
     (62%)
     (18%)
     (20%)
    Celkem 604 hlasů
     Komentářů: 30, poslední včera 22:40
    Rozcestník


    Dotaz: Mam FTP server pod utokem

    10.10.2016 19:27 Lubos
    Mam FTP server pod utokem
    Přečteno: 780×
    Dobry den. Pouzivam FTP server (program ftpd na xubuntu 16.04). Dneska od rana probiha na server utok hrubou silou. Zajimave je, ze to budde ??? z nejakeho botnetu ??? protoze kazda IP adresa se zopakuje 8x a pak pokracuje utok z jine adresy (vesmes jsou to RU a UA, ale i jine). Zadna IP adresa se jeste neopakovala, uz jich je pres 50. Hadaji nazvy uctu a hesla.

    Priklad vypisu security:

    2016-10-10 18:24:28,958 autopen-desktop proftpd[2772] 127.0.1.1 (92.242.122.174[92.242.122.174]): USER public: no such user found from 92.242.122.174 [92.242.122.174] to ::ffff:XXX.XXX.XXX.XXX:21

    2016-10-10 18:24:30,420 autopen-desktop proftpd[2773] 127.0.1.1 (92.242.122.174[92.242.122.174]): USER testuser: no such user found from 92.242.122.174 [92.242.122.174] to ::ffff:XXX.XXX.XXX.XXX:21

    2016-10-10 18:24:31,853 autopen-desktop proftpd[2774] 127.0.1.1 (92.242.122.174[92.242.122.174]): USER autopen.name: no such user found from 92.242.122.174 [92.242.122.174] to ::ffff:XXX.XXX.XXX.XXX:21

    2016-10-10 18:24:33,280 autopen-desktop proftpd[2775] 127.0.1.1 (92.242.122.174[92.242.122.174]): USER autopen.name: no such user found from 92.242.122.174 [92.242.122.174] to ::ffff:XXX.XXX.XXX.XXX:21

    2016-10-10 18:24:34,744 autopen-desktop proftpd[2776] 127.0.1.1 (92.242.122.174[92.242.122.174]): USER update: no such user found from 92.242.122.174 [92.242.122.174] to ::ffff:XXX.XXX.XXX.XXX:21

    2016-10-10 18:24:36,186 autopen-desktop proftpd[2777] 127.0.1.1 (92.242.122.174[92.242.122.174]): USER testuser1: no such user found from 92.242.122.174 [92.242.122.174] to ::ffff:XXX.XXX.XXX.XXX:21

    2016-10-10 18:24:37,606 autopen-desktop proftpd[2778] 127.0.1.1 (92.242.122.174[92.242.122.174]): USER ftpuser: no such user found from 92.242.122.174 [92.242.122.174] to ::ffff:XXX.XXX.XXX.XXX:21

    2016-10-10 18:24:39,045 autopen-desktop proftpd[2779] 127.0.1.1 (92.242.122.174[92.242.122.174]): USER demo: no such user found from 92.242.122.174 [92.242.122.174] to ::ffff:XXX.XXX.XXX.XXX:21

    2016-10-10 18:32:20,823 autopen-desktop proftpd[2862] 127.0.1.1 (87.76.255.70[87.76.255.70]): USER guest: no such user found from 87.76.255.70 [87.76.255.70] to ::ffff:XXX.XXX.XXX.XXX:21

    2016-10-10 18:32:22,238 autopen-desktop proftpd[2863] 127.0.1.1 (87.76.255.70[87.76.255.70]): USER ftpuser: no such user found from 87.76.255.70 [87.76.255.70] to ::ffff:XXX.XXX.XXX.XXX:21

    2016-10-10 18:32:23,672 autopen-desktop proftpd[2864] 127.0.1.1 (87.76.255.70[87.76.255.70]): USER web: no such user found from 87.76.255.70 [87.76.255.70] to ::ffff:XXX.XXX.XXX.XXX:21

    2016-10-10 18:32:25,111 autopen-desktop proftpd[2865] 127.0.1.1 (87.76.255.70[87.76.255.70]): USER upload: no such user found from 87.76.255.70 [87.76.255.70] to ::ffff:XXX.XXX.XXX.XXX:21

    2016-10-10 18:32:26,545 autopen-desktop proftpd[2866] 127.0.1.1 (87.76.255.70[87.76.255.70]): USER test@autopen.name: no such user found from 87.76.255.70 [87.76.255.70] to ::ffff:XXX.XXX.XXX.XXX:21

    2016-10-10 18:32:27,969 autopen-desktop proftpd[2867] 127.0.1.1 (87.76.255.70[87.76.255.70]): USER guest@autopen.name: no such user found from 87.76.255.70 [87.76.255.70] to ::ffff:XXX.XXX.XXX.XXX:21

    2016-10-10 18:32:29,387 autopen-desktop proftpd[2868] 127.0.1.1 (87.76.255.70[87.76.255.70]): USER test: no such user found from 87.76.255.70 [87.76.255.70] to ::ffff:XXX.XXX.XXX.XXX:21

    2016-10-10 18:32:30,826 autopen-desktop proftpd[2869] 127.0.1.1 (87.76.255.70[87.76.255.70]): USER public: no such user found from 87.76.255.70 [87.76.255.70] to ::ffff:XXX.XXX.XXX.XXX:21

    2016-10-10 18:40:22,207 autopen-desktop proftpd[2951] 127.0.1.1 (94.178.247.182[94.178.247.182]): USER web: no such user found from 94.178.247.182 [94.178.247.182] to ::ffff:XXX.XXX.XXX.XXX:21

    2016-10-10 18:40:23,552 autopen-desktop proftpd[2952] 127.0.1.1 (94.178.247.182[94.178.247.182]): USER administrator: no such user found from 94.178.247.182 [94.178.247.182] to ::ffff:XXX.XXX.XXX.XXX:21

    2016-10-10 18:40:26,240 autopen-desktop proftpd[2954] 127.0.1.1 (94.178.247.182[94.178.247.182]): USER autopen (Login failed): Limit access denies login

    2016-10-10 18:40:27,715 autopen-desktop proftpd[2955] 127.0.1.1 (94.178.247.182[94.178.247.182]): USER autopen@autopen.name: no such user found from 94.178.247.182 [94.178.247.182] to ::ffff:XXX.XXX.XXX.XXX:21

    2016-10-10 18:40:29,941 autopen-desktop proftpd[2956] 127.0.1.1 (94.178.247.182[94.178.247.182]): USER autopen (Login failed): Limit access denies login

    2016-10-10 18:40:31,320 autopen-desktop proftpd[2957] 127.0.1.1 (94.178.247.182[94.178.247.182]): USER test: no such user found from 94.178.247.182 [94.178.247.182] to ::ffff:XXX.XXX.XXX.XXX:21

    2016-10-10 18:40:34,814 autopen-desktop proftpd[2958] 127.0.1.1 (94.178.247.182[94.178.247.182]): USER autopen.name: no such user found from 94.178.247.182 [94.178.247.182] to ::ffff:XXX.XXX.XXX.XXX:21

    Mam si si s tim lamat hlavu? Zadne takove ucty na serveru neexistuji. A existuje vubec zpusob jak tomu celit? Zakazal bych jednotlive IP ve firewalu ale kdyz je tech pokusu vzdy jenom 8 a pak to pokracuje zase z jine adresy. Na server se prihlasuji i "regulerni" zakaznici. Ale jejich IP adresy se mohou menit, zalezi na tom, zda se napriklad prihlasi z prace nebo z domova. Kdybych povolil jenom (pro mne) zname IP, mohl bych jim privodit problem.

    Nejsem zadny zkuseny linuxak. Tak bych poprosil o "polopaticke" reakce, rady a navody. Dekuji a zdravim. Lubos

    Řešení dotazu:


    Odpovědi

    10.10.2016 20:24 NN
    Rozbalit Rozbalit vše Re: Mam FTP server pod utokem
    Predevcirem byla prednaska o DDoS na Linuxdays.. asi si ji poslechnu. No na serveru mas ruzne moznosti, nepouzivat standartni porty, obalit to TLS, nepouzivat prihlasovani heslem, whitelist. Potom ruzne omezovace, at uz fail2ban, iptables --limit, geoip blokaci.. no a ve finale nepouzivat FTP protokol.
    10.10.2016 20:44 Luboš
    Rozbalit Rozbalit vše Re: Mam FTP server pod utokem
    Diky NN.

    Geoip blokace, to by bylo ono.

    To by bylo super.

    Mam uzivatele vyhradne z Cech a ze Slovenska.

    A utok z Cech nebo ze Slovenska, tak to tu jeste nebylo.

    (Server bezi od roku 2011).

    Z Ciny, z Indie, ze Statu a tak poruznu to eviduju tak 10 pokusu do mesice.

    Ale dosud to bylo vzdy jen z jedné IP.

    Ale botnet, to je teda novinka.

    Takze budu googlit geoip blokaci.

    Dekuji.

    L.
    11.10.2016 07:48 Peter Golis | skóre: 63 | blog: Bežné záležitosti | Bratislava
    Rozbalit Rozbalit vše Re: Mam FTP server pod utokem
    A utok z Cech nebo ze Slovenska, tak to tu jeste nebylo.
    Botnety obsahujú aj počítače zo Slovenska a Čiech. Mohol by som vedieť o pár týždňov alebo mesiacov o tom, ako sa zmenili zdrojové krajiny tyýchto pokusov o uhádnutie mena/hesla?
    10.10.2016 23:26 lertimir | skóre: 64 | blog: Par_slov
    Rozbalit Rozbalit vše Re: Mam FTP server pod utokem
    Za prvé používat FTP pro cokoliv jiné než anonymní FTP server je nesmysl už asi 15 let. To co ve výpisu vidím není žádný DDoS útok, ale normální pomalý pokus o login na provařené kombinace jmen a hesel. Pokusy s menší frekvencí než jedne pokus za vteřinu opravdu DDoS nedělají a tohle mi na různé servery chodí na SSH a SFTP bežně. Předpokládám z výpisu, že tvůj server je tohle. A jakýkoliv robot který dorazí na tvůj web a prochází jeho strukturu najde v odkazu "účet na serveru AutoPEN" url specifikaci s ftp protokolem serveru a pokud tento robot je robot pro botnet (a takové existují stejně jako googli robot) tak te zařadí do botnetové aktivity.
    10.10.2016 23:58 Luboš
    Rozbalit Rozbalit vše Re: Mam FTP server pod utokem
    Dobry vecer.

    Ano, je to ten ftp server.

    Hned na zacatku dotazu se ptam jak je utok pro muj ftp server nebezpecny?

    Zadny takovy ucet, ktery ten botnet zkousi tam neexistuje a kdyby mel botnet vyzkouset vsechny mozne kombinace alfanumerickych znaku pro jmena uctu a hesel, nez by uspel tak si netroufam vubec odhadnout kolik desitek tisic let by to mohlo trvat.

    Jedine co mne stve (co mi vadi) ze mi zvysuje spotrebu na zdroji stroje ktery mi tu bezi v pracovne u zdi. Jiny problem asi nemeam. Nebo mozna mam ale nevim o nem. Ale jak uz jsem napsal, nejsem v teto oblasti zadny odbornik. Ani nejsem nijak vyjimecne chytry clovek.

    Proc pouzivam ftp? Protoze moji zakaznici (jako asi i vetsina vasich zakazniku) pouzivaji OS Windows a tim padem se snadno mohou pomoci pruzkumnika Windows prihlasit na ftp server, prenest tam svoje data a dale s nimi u mne pracovat. A vysladky sve prace potom zase stejnym zpusobem mohou prenest zpet. A to je dulezite. Nenutit lidi instalovat a instalovat nic dalsiho. Vystaci s programem Pripojeni ke vzdalene plose a s Pruzkumnikem Windows. Vse je v zakladni nabidce.

    Proto nechci, (nemohu) ftp opustit.

    Ten geo-blocking, ten vypada nadejne. Co myslite?

    Dekuji za prizpevek a zdravim. Lubos.

    11.10.2016 00:13 lertimir | skóre: 64 | blog: Par_slov
    Rozbalit Rozbalit vše Re: Mam FTP server pod utokem
    To záleží, jak si jich vážíš. Prostě zákazníkum řekneš že zvyšuješ jejich bezpečnost a že si potřebují něco dalšího nainstalovat. Pokud jsem jen lehce nahledal tak swish jim vytvoří podobně integrovaný přístup do průzkumníka na sftp jako bylo původní ftp a mají oni i ty po problému s bezpečností. pokud budeš mít url na web stránkách nezabráníš aby je nekdo přečetl a nezautočil.
    11.10.2016 00:53 Luboš
    Rozbalit Rozbalit vše Re: Mam FTP server pod utokem
    OK, dekuji za rady.

    Opravdu v html jsem nalezl 2x jmeno serveru.

    Uz jsem to zmenil. Uz je to jen na obrazkach. To by mohlo stacit.

    Vite, cela rada mych zakazniku jsou "zenske od plotny".

    Treba pani Janousova mi na dotaz: "jakou verzi Windows pouziva" odpovedela, ze jeji tatinek ma amputovanou nohu.

    Tim nijak nechci zlehcovat situaci.

    Jen chci rict ze nemuzeme na nase zakazniky klast prehnane naroky (nebo se nam na to vykaslou).

    Jeste jednou dekuji a zdravim.

    Lubos

    11.10.2016 08:22 zum
    Rozbalit Rozbalit vše Re: Mam FTP server pod utokem
    Az jim nekdo tu praci odposlechnute FTP heslo smaze, tak to tatinkovi bez nohy hodne pomuze - dcerka bez prijmu.
    11.10.2016 10:26 motyq
    Rozbalit Rozbalit vše Re: Mam FTP server pod utokem
    Ftp jsem už před dobře 5 lety nahradil webdavem. Winxp, moźná i 2k to umí připojit nativně jako síťovou složku/disk a je to takové hezčí. Samosebou webdav přes https možný též. A v totalcommanderu to připojíte také stejně jako ftp. Ftp nechť zhyne. Neříkám, že to je ultravýhra oproti ftp, ale aspoň trošku ano.
    Václav 11.10.2016 10:35 Václav "Darm" Novák | skóre: 26 | blog: Darmovy_kecy | Bechyně / Praha
    Rozbalit Rozbalit vše Re: Mam FTP server pod utokem
    Nebo by se jim to dalo nahradit nějakým řešením typu NextCloud. Ve webovém rozhraní si to snad naklikat zvládnou (mnozí co znám líp než pracovat se soubory v exploreru)
    Cross my heart and hope to fly, stick a cupcake in my eye!
    Václav 11.10.2016 10:36 Václav "Darm" Novák | skóre: 26 | blog: Darmovy_kecy | Bechyně / Praha
    Rozbalit Rozbalit vše Re: Mam FTP server pod utokem
    A navíc to má vlastně „v ceně“ i webdav a desktop klienta pro synchronizaci.
    Cross my heart and hope to fly, stick a cupcake in my eye!
    Jendа avatar 11.10.2016 12:38 Jendа | skóre: 77 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Mam FTP server pod utokem
    Hned na zacatku dotazu se ptam jak je utok pro muj ftp server nebezpecny?
    Pokud nemáš jednoduchá hesla, tak vůbec.
    Jedine co mne stve (co mi vadi) ze mi zvysuje spotrebu na zdroji stroje ktery mi tu bezi v pracovne u zdi.
    To je opruz. Já kvůli tomuhle dávám SSH na nestandardní port. Ale u FTP nevím jestli si s tím klienti poradí.
    Ten geo-blocking, ten vypada nadejne. Co myslite?
    Že budeš neustále řešit že se tam Pepa nemůže dostat, protože ho GeoIP blbě zařadilo nebo má internet od německého poskytovatele atd.
    Jendа avatar 11.10.2016 12:36 Jendа | skóre: 77 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Mam FTP server pod utokem
    Předpokládám z výpisu, že tvůj server je tohle. A jakýkoliv robot který dorazí na tvůj web a prochází jeho strukturu najde v odkazu "účet na serveru AutoPEN" url specifikaci s ftp protokolem serveru a pokud tento robot je robot pro botnet (a takové existují stejně jako googli robot) tak te zařadí do botnetové aktivity.
    Kdybych psal botnet, tak určitě nebudu procházet web, jestli náhodou nenajdu nějakou URL, ale prostě se pokusím připojit na všechny IPv4 adresy na port 21. Tolik jich zase není, masscanem se to dá zvládnou za chvíli.
    11.10.2016 15:28 Sid
    Rozbalit Rozbalit vše Re: Mam FTP server pod utokem
    cisto OT, vasa stranka je taka krasna ukazka ako vyzera podnikatelske baroko v svete webu. Nemyslim si, ze teda vzhlad ma prebit obsah (ako je posledna moda stranok kde pre zistenie informacie sa musi 20x odskrolovat) ale trocha striedmosti vo farbach a pozadiach by tiez neskodilo.
    11.10.2016 17:09 Ludvik
    Rozbalit Rozbalit vše Re: Mam FTP server pod utokem
    Braň se!
    11.10.2016 17:31 Luboš
    Rozbalit Rozbalit vše Re: Mam FTP server pod utokem

    Děkuji všem za připomínky a rady k tématu.

    Postupoval jsem podle tohohle návodu:

    http://xmodulo.com/block-network-traffic-by-country-linux.html

    Všechno proběhlo tip, ťop.

    Autor to má pěkně vysvětlené i pro začátečníky, jako jsem já.

    Zakázal jsem RU, UA, IN, CN.

    Zatím je klid, útok přestal, budu to sledovat, uvidím.

    Nějaký ten pokus z jedné IP, co trvá hoďku dvě, to mi nevadí.

    Jsou to spíš takové klukoviny. řekl bych.

    Ale botnet... Jenom by mne zajímalo, kolik tam bylo v zásobě strojů (IP adres).

    Tak ještě jednou děkuji a zdravím.

    Luboš

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.