abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

dnes 19:00 | Nová verze

Po více než roce vývoje od vydání verze 1.20.0 byla vydána nová stabilní verze 1.22.0 webového serveru a reverzní proxy nginx (Wikipedie). Nová verze přináší řadu novinek. Podrobný přehled v souboru CHANGES-1.22.

Ladislav Hagara | Komentářů: 0
dnes 18:33 | Nová verze

Desktopová verze svobodného kancelářského balíku OnlyOffice (Wikipedie) byla vydána ve verzi 7.1 (7.1.0). Přehled novinek v příspěvku na blogu a na YouTube. Nejnovější OnlyOffice je již také na Flathubu a Snapcraftu.

Ladislav Hagara | Komentářů: 2
dnes 17:00 | IT novinky

Logitech dnes představil myš MX Master 3S a mechanické klávesnice MX Mechanical a MX Mechanical Mini.

Ladislav Hagara | Komentářů: 10
dnes 11:11 | Komunita

Google zveřejnil seznam 1 212 projektů od 198 organizací přijatých do letošního, již osmnáctého, Google Summer of Code.

Ladislav Hagara | Komentářů: 0
včera 23:33 | Nová verze

Byla vydána nová stabilní verze 3.16.0, tj. první z nové řady 3.16, minimalistické linuxové distribuce zaměřené na bezpečnost Alpine Linux (Wikipedie) postavené na standardní knihovně jazyka C musl libc a BusyBoxu.

Ladislav Hagara | Komentářů: 0
včera 19:33 | IT novinky

NoLog.cz IT kolektiv spustil Nitter.cz. Jedná se o alternativní rozhraní pro Twitter, které nesbírá osobní údaje, nevyžaduje přihlášení a všechny přístupy na Twitter provádí skrz servery NoLog.cz.

Ladislav Hagara | Komentářů: 11
včera 18:44 | Nová verze

Byla vydána nová major verze 15 softwarového nástroje s webovým rozhraním umožňujícího spolupráci na zdrojových kódech GitLab (Wikipedie). Představení nových vlastností i s náhledy a videi v oficiálním oznámení.

Ladislav Hagara | Komentářů: 0
22.5. 23:00 | Nová verze

Po 9 týdnech vývoje od vydání Linuxu 5.17 oznámil Linus Torvalds vydání Linuxu 5.18 (LKML). Přehled nových vlastností a vylepšení na stránce Linux Kernel Newbies.

Ladislav Hagara | Komentářů: 0
22.5. 14:44 | Komunita

V Ubuntu 22.10 s kódovým jménem Kinetic Kudu bude zvukový server PulseAudio nahrazen multimediálním serverem PipeWire.

Ladislav Hagara | Komentářů: 19
21.5. 22:44 | Zajímavý článek

Tavis Ormandy popisuje, jak zprovoznil 32 let starý unixový port tabulkového procesoru Lotus 1-2-3 na moderním Linuxu. Doprovodné zdrojové kódy jsou na GitHubu.

Fluttershy, yay! | Komentářů: 13
Na sociálních sítích nebo jiných webových diskuzích vystupuji pod
 (61%)
 (16%)
 (23%)
Celkem 326 hlasů
 Komentářů: 29, poslední dnes 00:02
Rozcestník


Dotaz: Mam FTP server pod utokem

10.10.2016 19:27 Lubos
Mam FTP server pod utokem
Přečteno: 780×
Dobry den. Pouzivam FTP server (program ftpd na xubuntu 16.04). Dneska od rana probiha na server utok hrubou silou. Zajimave je, ze to budde ??? z nejakeho botnetu ??? protoze kazda IP adresa se zopakuje 8x a pak pokracuje utok z jine adresy (vesmes jsou to RU a UA, ale i jine). Zadna IP adresa se jeste neopakovala, uz jich je pres 50. Hadaji nazvy uctu a hesla.

Priklad vypisu security:

2016-10-10 18:24:28,958 autopen-desktop proftpd[2772] 127.0.1.1 (92.242.122.174[92.242.122.174]): USER public: no such user found from 92.242.122.174 [92.242.122.174] to ::ffff:XXX.XXX.XXX.XXX:21

2016-10-10 18:24:30,420 autopen-desktop proftpd[2773] 127.0.1.1 (92.242.122.174[92.242.122.174]): USER testuser: no such user found from 92.242.122.174 [92.242.122.174] to ::ffff:XXX.XXX.XXX.XXX:21

2016-10-10 18:24:31,853 autopen-desktop proftpd[2774] 127.0.1.1 (92.242.122.174[92.242.122.174]): USER autopen.name: no such user found from 92.242.122.174 [92.242.122.174] to ::ffff:XXX.XXX.XXX.XXX:21

2016-10-10 18:24:33,280 autopen-desktop proftpd[2775] 127.0.1.1 (92.242.122.174[92.242.122.174]): USER autopen.name: no such user found from 92.242.122.174 [92.242.122.174] to ::ffff:XXX.XXX.XXX.XXX:21

2016-10-10 18:24:34,744 autopen-desktop proftpd[2776] 127.0.1.1 (92.242.122.174[92.242.122.174]): USER update: no such user found from 92.242.122.174 [92.242.122.174] to ::ffff:XXX.XXX.XXX.XXX:21

2016-10-10 18:24:36,186 autopen-desktop proftpd[2777] 127.0.1.1 (92.242.122.174[92.242.122.174]): USER testuser1: no such user found from 92.242.122.174 [92.242.122.174] to ::ffff:XXX.XXX.XXX.XXX:21

2016-10-10 18:24:37,606 autopen-desktop proftpd[2778] 127.0.1.1 (92.242.122.174[92.242.122.174]): USER ftpuser: no such user found from 92.242.122.174 [92.242.122.174] to ::ffff:XXX.XXX.XXX.XXX:21

2016-10-10 18:24:39,045 autopen-desktop proftpd[2779] 127.0.1.1 (92.242.122.174[92.242.122.174]): USER demo: no such user found from 92.242.122.174 [92.242.122.174] to ::ffff:XXX.XXX.XXX.XXX:21

2016-10-10 18:32:20,823 autopen-desktop proftpd[2862] 127.0.1.1 (87.76.255.70[87.76.255.70]): USER guest: no such user found from 87.76.255.70 [87.76.255.70] to ::ffff:XXX.XXX.XXX.XXX:21

2016-10-10 18:32:22,238 autopen-desktop proftpd[2863] 127.0.1.1 (87.76.255.70[87.76.255.70]): USER ftpuser: no such user found from 87.76.255.70 [87.76.255.70] to ::ffff:XXX.XXX.XXX.XXX:21

2016-10-10 18:32:23,672 autopen-desktop proftpd[2864] 127.0.1.1 (87.76.255.70[87.76.255.70]): USER web: no such user found from 87.76.255.70 [87.76.255.70] to ::ffff:XXX.XXX.XXX.XXX:21

2016-10-10 18:32:25,111 autopen-desktop proftpd[2865] 127.0.1.1 (87.76.255.70[87.76.255.70]): USER upload: no such user found from 87.76.255.70 [87.76.255.70] to ::ffff:XXX.XXX.XXX.XXX:21

2016-10-10 18:32:26,545 autopen-desktop proftpd[2866] 127.0.1.1 (87.76.255.70[87.76.255.70]): USER test@autopen.name: no such user found from 87.76.255.70 [87.76.255.70] to ::ffff:XXX.XXX.XXX.XXX:21

2016-10-10 18:32:27,969 autopen-desktop proftpd[2867] 127.0.1.1 (87.76.255.70[87.76.255.70]): USER guest@autopen.name: no such user found from 87.76.255.70 [87.76.255.70] to ::ffff:XXX.XXX.XXX.XXX:21

2016-10-10 18:32:29,387 autopen-desktop proftpd[2868] 127.0.1.1 (87.76.255.70[87.76.255.70]): USER test: no such user found from 87.76.255.70 [87.76.255.70] to ::ffff:XXX.XXX.XXX.XXX:21

2016-10-10 18:32:30,826 autopen-desktop proftpd[2869] 127.0.1.1 (87.76.255.70[87.76.255.70]): USER public: no such user found from 87.76.255.70 [87.76.255.70] to ::ffff:XXX.XXX.XXX.XXX:21

2016-10-10 18:40:22,207 autopen-desktop proftpd[2951] 127.0.1.1 (94.178.247.182[94.178.247.182]): USER web: no such user found from 94.178.247.182 [94.178.247.182] to ::ffff:XXX.XXX.XXX.XXX:21

2016-10-10 18:40:23,552 autopen-desktop proftpd[2952] 127.0.1.1 (94.178.247.182[94.178.247.182]): USER administrator: no such user found from 94.178.247.182 [94.178.247.182] to ::ffff:XXX.XXX.XXX.XXX:21

2016-10-10 18:40:26,240 autopen-desktop proftpd[2954] 127.0.1.1 (94.178.247.182[94.178.247.182]): USER autopen (Login failed): Limit access denies login

2016-10-10 18:40:27,715 autopen-desktop proftpd[2955] 127.0.1.1 (94.178.247.182[94.178.247.182]): USER autopen@autopen.name: no such user found from 94.178.247.182 [94.178.247.182] to ::ffff:XXX.XXX.XXX.XXX:21

2016-10-10 18:40:29,941 autopen-desktop proftpd[2956] 127.0.1.1 (94.178.247.182[94.178.247.182]): USER autopen (Login failed): Limit access denies login

2016-10-10 18:40:31,320 autopen-desktop proftpd[2957] 127.0.1.1 (94.178.247.182[94.178.247.182]): USER test: no such user found from 94.178.247.182 [94.178.247.182] to ::ffff:XXX.XXX.XXX.XXX:21

2016-10-10 18:40:34,814 autopen-desktop proftpd[2958] 127.0.1.1 (94.178.247.182[94.178.247.182]): USER autopen.name: no such user found from 94.178.247.182 [94.178.247.182] to ::ffff:XXX.XXX.XXX.XXX:21

Mam si si s tim lamat hlavu? Zadne takove ucty na serveru neexistuji. A existuje vubec zpusob jak tomu celit? Zakazal bych jednotlive IP ve firewalu ale kdyz je tech pokusu vzdy jenom 8 a pak to pokracuje zase z jine adresy. Na server se prihlasuji i "regulerni" zakaznici. Ale jejich IP adresy se mohou menit, zalezi na tom, zda se napriklad prihlasi z prace nebo z domova. Kdybych povolil jenom (pro mne) zname IP, mohl bych jim privodit problem.

Nejsem zadny zkuseny linuxak. Tak bych poprosil o "polopaticke" reakce, rady a navody. Dekuji a zdravim. Lubos

Řešení dotazu:


Odpovědi

10.10.2016 20:24 NN
Rozbalit Rozbalit vše Re: Mam FTP server pod utokem
Predevcirem byla prednaska o DDoS na Linuxdays.. asi si ji poslechnu. No na serveru mas ruzne moznosti, nepouzivat standartni porty, obalit to TLS, nepouzivat prihlasovani heslem, whitelist. Potom ruzne omezovace, at uz fail2ban, iptables --limit, geoip blokaci.. no a ve finale nepouzivat FTP protokol.
10.10.2016 20:44 Luboš
Rozbalit Rozbalit vše Re: Mam FTP server pod utokem
Diky NN.

Geoip blokace, to by bylo ono.

To by bylo super.

Mam uzivatele vyhradne z Cech a ze Slovenska.

A utok z Cech nebo ze Slovenska, tak to tu jeste nebylo.

(Server bezi od roku 2011).

Z Ciny, z Indie, ze Statu a tak poruznu to eviduju tak 10 pokusu do mesice.

Ale dosud to bylo vzdy jen z jedné IP.

Ale botnet, to je teda novinka.

Takze budu googlit geoip blokaci.

Dekuji.

L.
11.10.2016 07:48 Peter Golis | skóre: 63 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: Mam FTP server pod utokem
A utok z Cech nebo ze Slovenska, tak to tu jeste nebylo.
Botnety obsahujú aj počítače zo Slovenska a Čiech. Mohol by som vedieť o pár týždňov alebo mesiacov o tom, ako sa zmenili zdrojové krajiny tyýchto pokusov o uhádnutie mena/hesla?
10.10.2016 23:26 lertimir | skóre: 64 | blog: Par_slov
Rozbalit Rozbalit vše Re: Mam FTP server pod utokem
Za prvé používat FTP pro cokoliv jiné než anonymní FTP server je nesmysl už asi 15 let. To co ve výpisu vidím není žádný DDoS útok, ale normální pomalý pokus o login na provařené kombinace jmen a hesel. Pokusy s menší frekvencí než jedne pokus za vteřinu opravdu DDoS nedělají a tohle mi na různé servery chodí na SSH a SFTP bežně. Předpokládám z výpisu, že tvůj server je tohle. A jakýkoliv robot který dorazí na tvůj web a prochází jeho strukturu najde v odkazu "účet na serveru AutoPEN" url specifikaci s ftp protokolem serveru a pokud tento robot je robot pro botnet (a takové existují stejně jako googli robot) tak te zařadí do botnetové aktivity.
10.10.2016 23:58 Luboš
Rozbalit Rozbalit vše Re: Mam FTP server pod utokem
Dobry vecer.

Ano, je to ten ftp server.

Hned na zacatku dotazu se ptam jak je utok pro muj ftp server nebezpecny?

Zadny takovy ucet, ktery ten botnet zkousi tam neexistuje a kdyby mel botnet vyzkouset vsechny mozne kombinace alfanumerickych znaku pro jmena uctu a hesel, nez by uspel tak si netroufam vubec odhadnout kolik desitek tisic let by to mohlo trvat.

Jedine co mne stve (co mi vadi) ze mi zvysuje spotrebu na zdroji stroje ktery mi tu bezi v pracovne u zdi. Jiny problem asi nemeam. Nebo mozna mam ale nevim o nem. Ale jak uz jsem napsal, nejsem v teto oblasti zadny odbornik. Ani nejsem nijak vyjimecne chytry clovek.

Proc pouzivam ftp? Protoze moji zakaznici (jako asi i vetsina vasich zakazniku) pouzivaji OS Windows a tim padem se snadno mohou pomoci pruzkumnika Windows prihlasit na ftp server, prenest tam svoje data a dale s nimi u mne pracovat. A vysladky sve prace potom zase stejnym zpusobem mohou prenest zpet. A to je dulezite. Nenutit lidi instalovat a instalovat nic dalsiho. Vystaci s programem Pripojeni ke vzdalene plose a s Pruzkumnikem Windows. Vse je v zakladni nabidce.

Proto nechci, (nemohu) ftp opustit.

Ten geo-blocking, ten vypada nadejne. Co myslite?

Dekuji za prizpevek a zdravim. Lubos.

11.10.2016 00:13 lertimir | skóre: 64 | blog: Par_slov
Rozbalit Rozbalit vše Re: Mam FTP server pod utokem
To záleží, jak si jich vážíš. Prostě zákazníkum řekneš že zvyšuješ jejich bezpečnost a že si potřebují něco dalšího nainstalovat. Pokud jsem jen lehce nahledal tak swish jim vytvoří podobně integrovaný přístup do průzkumníka na sftp jako bylo původní ftp a mají oni i ty po problému s bezpečností. pokud budeš mít url na web stránkách nezabráníš aby je nekdo přečetl a nezautočil.
11.10.2016 00:53 Luboš
Rozbalit Rozbalit vše Re: Mam FTP server pod utokem
OK, dekuji za rady.

Opravdu v html jsem nalezl 2x jmeno serveru.

Uz jsem to zmenil. Uz je to jen na obrazkach. To by mohlo stacit.

Vite, cela rada mych zakazniku jsou "zenske od plotny".

Treba pani Janousova mi na dotaz: "jakou verzi Windows pouziva" odpovedela, ze jeji tatinek ma amputovanou nohu.

Tim nijak nechci zlehcovat situaci.

Jen chci rict ze nemuzeme na nase zakazniky klast prehnane naroky (nebo se nam na to vykaslou).

Jeste jednou dekuji a zdravim.

Lubos

11.10.2016 08:22 zum
Rozbalit Rozbalit vše Re: Mam FTP server pod utokem
Az jim nekdo tu praci odposlechnute FTP heslo smaze, tak to tatinkovi bez nohy hodne pomuze - dcerka bez prijmu.
11.10.2016 10:26 motyq
Rozbalit Rozbalit vše Re: Mam FTP server pod utokem
Ftp jsem už před dobře 5 lety nahradil webdavem. Winxp, moźná i 2k to umí připojit nativně jako síťovou složku/disk a je to takové hezčí. Samosebou webdav přes https možný též. A v totalcommanderu to připojíte také stejně jako ftp. Ftp nechť zhyne. Neříkám, že to je ultravýhra oproti ftp, ale aspoň trošku ano.
Václav 11.10.2016 10:35 Václav "Darm" Novák | skóre: 26 | blog: Darmovy_kecy | Bechyně / Praha
Rozbalit Rozbalit vše Re: Mam FTP server pod utokem
Nebo by se jim to dalo nahradit nějakým řešením typu NextCloud. Ve webovém rozhraní si to snad naklikat zvládnou (mnozí co znám líp než pracovat se soubory v exploreru)
Cross my heart and hope to fly, stick a cupcake in my eye!
Václav 11.10.2016 10:36 Václav "Darm" Novák | skóre: 26 | blog: Darmovy_kecy | Bechyně / Praha
Rozbalit Rozbalit vše Re: Mam FTP server pod utokem
A navíc to má vlastně „v ceně“ i webdav a desktop klienta pro synchronizaci.
Cross my heart and hope to fly, stick a cupcake in my eye!
Jendа avatar 11.10.2016 12:38 Jendа | skóre: 77 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Mam FTP server pod utokem
Hned na zacatku dotazu se ptam jak je utok pro muj ftp server nebezpecny?
Pokud nemáš jednoduchá hesla, tak vůbec.
Jedine co mne stve (co mi vadi) ze mi zvysuje spotrebu na zdroji stroje ktery mi tu bezi v pracovne u zdi.
To je opruz. Já kvůli tomuhle dávám SSH na nestandardní port. Ale u FTP nevím jestli si s tím klienti poradí.
Ten geo-blocking, ten vypada nadejne. Co myslite?
Že budeš neustále řešit že se tam Pepa nemůže dostat, protože ho GeoIP blbě zařadilo nebo má internet od německého poskytovatele atd.
Řešení inflace: přidat do spotřebního koše Bitcoin
Jendа avatar 11.10.2016 12:36 Jendа | skóre: 77 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Mam FTP server pod utokem
Předpokládám z výpisu, že tvůj server je tohle. A jakýkoliv robot který dorazí na tvůj web a prochází jeho strukturu najde v odkazu "účet na serveru AutoPEN" url specifikaci s ftp protokolem serveru a pokud tento robot je robot pro botnet (a takové existují stejně jako googli robot) tak te zařadí do botnetové aktivity.
Kdybych psal botnet, tak určitě nebudu procházet web, jestli náhodou nenajdu nějakou URL, ale prostě se pokusím připojit na všechny IPv4 adresy na port 21. Tolik jich zase není, masscanem se to dá zvládnou za chvíli.
Řešení inflace: přidat do spotřebního koše Bitcoin
11.10.2016 15:28 Sid
Rozbalit Rozbalit vše Re: Mam FTP server pod utokem
cisto OT, vasa stranka je taka krasna ukazka ako vyzera podnikatelske baroko v svete webu. Nemyslim si, ze teda vzhlad ma prebit obsah (ako je posledna moda stranok kde pre zistenie informacie sa musi 20x odskrolovat) ale trocha striedmosti vo farbach a pozadiach by tiez neskodilo.
11.10.2016 17:09 Ludvik
Rozbalit Rozbalit vše Re: Mam FTP server pod utokem
Braň se!
11.10.2016 17:31 Luboš
Rozbalit Rozbalit vše Re: Mam FTP server pod utokem

Děkuji všem za připomínky a rady k tématu.

Postupoval jsem podle tohohle návodu:

http://xmodulo.com/block-network-traffic-by-country-linux.html

Všechno proběhlo tip, ťop.

Autor to má pěkně vysvětlené i pro začátečníky, jako jsem já.

Zakázal jsem RU, UA, IN, CN.

Zatím je klid, útok přestal, budu to sledovat, uvidím.

Nějaký ten pokus z jedné IP, co trvá hoďku dvě, to mi nevadí.

Jsou to spíš takové klukoviny. řekl bych.

Ale botnet... Jenom by mne zajímalo, kolik tam bylo v zásobě strojů (IP adres).

Tak ještě jednou děkuji a zdravím.

Luboš

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.