AbcLinuxu:/ Poradna / Linuxová poradna / Mam FTP server pod utokem

Štítky: FTP, hesla, Internet, limit, Linuxák, login, práce, problém, server, xubuntu

Dotaz: Mam FTP server pod utokem

10.10.2016 19:27 Lubos
Mam FTP server pod utokem

Přečteno: 883×

Odpovědět | Admin

Dobry den. Pouzivam FTP server (program ftpd na xubuntu 16.04). Dneska od rana probiha na server utok hrubou silou. Zajimave je, ze to budde ??? z nejakeho botnetu ??? protoze kazda IP adresa se zopakuje 8x a pak pokracuje utok z jine adresy (vesmes jsou to RU a UA, ale i jine). Zadna IP adresa se jeste neopakovala, uz jich je pres 50. Hadaji nazvy uctu a hesla.

Priklad vypisu security:

2016-10-10 18:24:28,958 autopen-desktop proftpd[2772] 127.0.1.1 (92.242.122.174[92.242.122.174]): USER public: no such user found from 92.242.122.174 [92.242.122.174] to ::ffff:XXX.XXX.XXX.XXX:21

2016-10-10 18:24:30,420 autopen-desktop proftpd[2773] 127.0.1.1 (92.242.122.174[92.242.122.174]): USER testuser: no such user found from 92.242.122.174 [92.242.122.174] to ::ffff:XXX.XXX.XXX.XXX:21

2016-10-10 18:24:31,853 autopen-desktop proftpd[2774] 127.0.1.1 (92.242.122.174[92.242.122.174]): USER autopen.name: no such user found from 92.242.122.174 [92.242.122.174] to ::ffff:XXX.XXX.XXX.XXX:21

2016-10-10 18:24:33,280 autopen-desktop proftpd[2775] 127.0.1.1 (92.242.122.174[92.242.122.174]): USER autopen.name: no such user found from 92.242.122.174 [92.242.122.174] to ::ffff:XXX.XXX.XXX.XXX:21

2016-10-10 18:24:34,744 autopen-desktop proftpd[2776] 127.0.1.1 (92.242.122.174[92.242.122.174]): USER update: no such user found from 92.242.122.174 [92.242.122.174] to ::ffff:XXX.XXX.XXX.XXX:21

2016-10-10 18:24:36,186 autopen-desktop proftpd[2777] 127.0.1.1 (92.242.122.174[92.242.122.174]): USER testuser1: no such user found from 92.242.122.174 [92.242.122.174] to ::ffff:XXX.XXX.XXX.XXX:21

2016-10-10 18:24:37,606 autopen-desktop proftpd[2778] 127.0.1.1 (92.242.122.174[92.242.122.174]): USER ftpuser: no such user found from 92.242.122.174 [92.242.122.174] to ::ffff:XXX.XXX.XXX.XXX:21

2016-10-10 18:24:39,045 autopen-desktop proftpd[2779] 127.0.1.1 (92.242.122.174[92.242.122.174]): USER demo: no such user found from 92.242.122.174 [92.242.122.174] to ::ffff:XXX.XXX.XXX.XXX:21

2016-10-10 18:32:20,823 autopen-desktop proftpd[2862] 127.0.1.1 (87.76.255.70[87.76.255.70]): USER guest: no such user found from 87.76.255.70 [87.76.255.70] to ::ffff:XXX.XXX.XXX.XXX:21

2016-10-10 18:32:22,238 autopen-desktop proftpd[2863] 127.0.1.1 (87.76.255.70[87.76.255.70]): USER ftpuser: no such user found from 87.76.255.70 [87.76.255.70] to ::ffff:XXX.XXX.XXX.XXX:21

2016-10-10 18:32:23,672 autopen-desktop proftpd[2864] 127.0.1.1 (87.76.255.70[87.76.255.70]): USER web: no such user found from 87.76.255.70 [87.76.255.70] to ::ffff:XXX.XXX.XXX.XXX:21

2016-10-10 18:32:25,111 autopen-desktop proftpd[2865] 127.0.1.1 (87.76.255.70[87.76.255.70]): USER upload: no such user found from 87.76.255.70 [87.76.255.70] to ::ffff:XXX.XXX.XXX.XXX:21

2016-10-10 18:32:26,545 autopen-desktop proftpd[2866] 127.0.1.1 (87.76.255.70[87.76.255.70]): USER test@autopen.name: no such user found from 87.76.255.70 [87.76.255.70] to ::ffff:XXX.XXX.XXX.XXX:21

2016-10-10 18:32:27,969 autopen-desktop proftpd[2867] 127.0.1.1 (87.76.255.70[87.76.255.70]): USER guest@autopen.name: no such user found from 87.76.255.70 [87.76.255.70] to ::ffff:XXX.XXX.XXX.XXX:21

2016-10-10 18:32:29,387 autopen-desktop proftpd[2868] 127.0.1.1 (87.76.255.70[87.76.255.70]): USER test: no such user found from 87.76.255.70 [87.76.255.70] to ::ffff:XXX.XXX.XXX.XXX:21

2016-10-10 18:32:30,826 autopen-desktop proftpd[2869] 127.0.1.1 (87.76.255.70[87.76.255.70]): USER public: no such user found from 87.76.255.70 [87.76.255.70] to ::ffff:XXX.XXX.XXX.XXX:21

2016-10-10 18:40:22,207 autopen-desktop proftpd[2951] 127.0.1.1 (94.178.247.182[94.178.247.182]): USER web: no such user found from 94.178.247.182 [94.178.247.182] to ::ffff:XXX.XXX.XXX.XXX:21

2016-10-10 18:40:23,552 autopen-desktop proftpd[2952] 127.0.1.1 (94.178.247.182[94.178.247.182]): USER administrator: no such user found from 94.178.247.182 [94.178.247.182] to ::ffff:XXX.XXX.XXX.XXX:21

2016-10-10 18:40:26,240 autopen-desktop proftpd[2954] 127.0.1.1 (94.178.247.182[94.178.247.182]): USER autopen (Login failed): Limit access denies login

2016-10-10 18:40:27,715 autopen-desktop proftpd[2955] 127.0.1.1 (94.178.247.182[94.178.247.182]): USER autopen@autopen.name: no such user found from 94.178.247.182 [94.178.247.182] to ::ffff:XXX.XXX.XXX.XXX:21

2016-10-10 18:40:29,941 autopen-desktop proftpd[2956] 127.0.1.1 (94.178.247.182[94.178.247.182]): USER autopen (Login failed): Limit access denies login

2016-10-10 18:40:31,320 autopen-desktop proftpd[2957] 127.0.1.1 (94.178.247.182[94.178.247.182]): USER test: no such user found from 94.178.247.182 [94.178.247.182] to ::ffff:XXX.XXX.XXX.XXX:21

2016-10-10 18:40:34,814 autopen-desktop proftpd[2958] 127.0.1.1 (94.178.247.182[94.178.247.182]): USER autopen.name: no such user found from 94.178.247.182 [94.178.247.182] to ::ffff:XXX.XXX.XXX.XXX:21

Mam si si s tim lamat hlavu? Zadne takove ucty na serveru neexistuji. A existuje vubec zpusob jak tomu celit? Zakazal bych jednotlive IP ve firewalu ale kdyz je tech pokusu vzdy jenom 8 a pak to pokracuje zase z jine adresy. Na server se prihlasuji i "regulerni" zakaznici. Ale jejich IP adresy se mohou menit, zalezi na tom, zda se napriklad prihlasi z prace nebo z domova. Kdybych povolil jenom (pro mne) zname IP, mohl bych jim privodit problem.

Nejsem zadny zkuseny linuxak. Tak bych poprosil o "polopaticke" reakce, rady a navody. Dekuji a zdravim. Lubos

Řešení dotazu:

Nástroje: Začni sledovat (0) ?

Odpovědi

10.10.2016 20:24 NN
Rozbalit Rozbalit vše Re: Mam FTP server pod utokem

Predevcirem byla prednaska o DDoS na Linuxdays.. asi si ji poslechnu. No na serveru mas ruzne moznosti, nepouzivat standartni porty, obalit to TLS, nepouzivat prihlasovani heslem, whitelist. Potom ruzne omezovace, at uz fail2ban, iptables --limit, geoip blokaci.. no a ve finale nepouzivat FTP protokol.

10.10.2016 20:44 Luboš
Rozbalit Rozbalit vše Re: Mam FTP server pod utokem

Diky NN.

Geoip blokace, to by bylo ono.

To by bylo super.

Mam uzivatele vyhradne z Cech a ze Slovenska.

A utok z Cech nebo ze Slovenska, tak to tu jeste nebylo.

(Server bezi od roku 2011).

Z Ciny, z Indie, ze Statu a tak poruznu to eviduju tak 10 pokusu do mesice.

Ale dosud to bylo vzdy jen z jedné IP.

Ale botnet, to je teda novinka.

Takze budu googlit geoip blokaci.

Dekuji.

11.10.2016 07:48 Peter Golis | skóre: 65 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: Mam FTP server pod utokem

A utok z Cech nebo ze Slovenska, tak to tu jeste nebylo.

Botnety obsahujú aj počítače zo Slovenska a Čiech. Mohol by som vedieť o pár týždňov alebo mesiacov o tom, ako sa zmenili zdrojové krajiny tyýchto pokusov o uhádnutie mena/hesla?

10.10.2016 23:26 lertimir | skóre: 64 | blog: Par_slov
Rozbalit Rozbalit vše Re: Mam FTP server pod utokem

Za prvé používat FTP pro cokoliv jiné než anonymní FTP server je nesmysl už asi 15 let. To co ve výpisu vidím není žádný DDoS útok, ale normální pomalý pokus o login na provařené kombinace jmen a hesel. Pokusy s menší frekvencí než jedne pokus za vteřinu opravdu DDoS nedělají a tohle mi na různé servery chodí na SSH a SFTP bežně. Předpokládám z výpisu, že tvůj server je tohle. A jakýkoliv robot který dorazí na tvůj web a prochází jeho strukturu najde v odkazu "účet na serveru AutoPEN" url specifikaci s ftp protokolem serveru a pokud tento robot je robot pro botnet (a takové existují stejně jako googli robot) tak te zařadí do botnetové aktivity.

10.10.2016 23:58 Luboš
Rozbalit Rozbalit vše Re: Mam FTP server pod utokem

Dobry vecer.

Ano, je to ten ftp server.

Hned na zacatku dotazu se ptam jak je utok pro muj ftp server nebezpecny?

Zadny takovy ucet, ktery ten botnet zkousi tam neexistuje a kdyby mel botnet vyzkouset vsechny mozne kombinace alfanumerickych znaku pro jmena uctu a hesel, nez by uspel tak si netroufam vubec odhadnout kolik desitek tisic let by to mohlo trvat.

Jedine co mne stve (co mi vadi) ze mi zvysuje spotrebu na zdroji stroje ktery mi tu bezi v pracovne u zdi. Jiny problem asi nemeam. Nebo mozna mam ale nevim o nem. Ale jak uz jsem napsal, nejsem v teto oblasti zadny odbornik. Ani nejsem nijak vyjimecne chytry clovek.

Proc pouzivam ftp? Protoze moji zakaznici (jako asi i vetsina vasich zakazniku) pouzivaji OS Windows a tim padem se snadno mohou pomoci pruzkumnika Windows prihlasit na ftp server, prenest tam svoje data a dale s nimi u mne pracovat. A vysladky sve prace potom zase stejnym zpusobem mohou prenest zpet. A to je dulezite. Nenutit lidi instalovat a instalovat nic dalsiho. Vystaci s programem Pripojeni ke vzdalene plose a s Pruzkumnikem Windows. Vse je v zakladni nabidce.

Proto nechci, (nemohu) ftp opustit.

Ten geo-blocking, ten vypada nadejne. Co myslite?

Dekuji za prizpevek a zdravim. Lubos.

11.10.2016 00:13 lertimir | skóre: 64 | blog: Par_slov
Rozbalit Rozbalit vše Re: Mam FTP server pod utokem

To záleží, jak si jich vážíš. Prostě zákazníkum řekneš že zvyšuješ jejich bezpečnost a že si potřebují něco dalšího nainstalovat. Pokud jsem jen lehce nahledal tak swish jim vytvoří podobně integrovaný přístup do průzkumníka na sftp jako bylo původní ftp a mají oni i ty po problému s bezpečností. pokud budeš mít url na web stránkách nezabráníš aby je nekdo přečetl a nezautočil.

11.10.2016 00:53 Luboš
Rozbalit Rozbalit vše Re: Mam FTP server pod utokem

OK, dekuji za rady.

Opravdu v html jsem nalezl 2x jmeno serveru.

Uz jsem to zmenil. Uz je to jen na obrazkach. To by mohlo stacit.

Vite, cela rada mych zakazniku jsou "zenske od plotny".

Treba pani Janousova mi na dotaz: "jakou verzi Windows pouziva" odpovedela, ze jeji tatinek ma amputovanou nohu.

Tim nijak nechci zlehcovat situaci.

Jen chci rict ze nemuzeme na nase zakazniky klast prehnane naroky (nebo se nam na to vykaslou).

Jeste jednou dekuji a zdravim.

Lubos

11.10.2016 08:22 zum
Rozbalit Rozbalit vše Re: Mam FTP server pod utokem

Az jim nekdo tu praci odposlechnute FTP heslo smaze, tak to tatinkovi bez nohy hodne pomuze - dcerka bez prijmu.

11.10.2016 10:26 motyq
Rozbalit Rozbalit vše Re: Mam FTP server pod utokem

Ftp jsem už před dobře 5 lety nahradil webdavem. Winxp, moźná i 2k to umí připojit nativně jako síťovou složku/disk a je to takové hezčí. Samosebou webdav přes https možný též. A v totalcommanderu to připojíte také stejně jako ftp. Ftp nechť zhyne. Neříkám, že to je ultravýhra oproti ftp, ale aspoň trošku ano.

11.10.2016 10:35 Václav "Darm" Novák | skóre: 26 | blog: Darmovy_kecy | Bechyně / Praha
Rozbalit Rozbalit vše Re: Mam FTP server pod utokem

Nebo by se jim to dalo nahradit nějakým řešením typu NextCloud. Ve webovém rozhraní si to snad naklikat zvládnou (mnozí co znám líp než pracovat se soubory v exploreru)

Cross my heart and hope to fly, stick a cupcake in my eye!

11.10.2016 10:36 Václav "Darm" Novák | skóre: 26 | blog: Darmovy_kecy | Bechyně / Praha
Rozbalit Rozbalit vše Re: Mam FTP server pod utokem

A navíc to má vlastně „v ceně“ i webdav a desktop klienta pro synchronizaci.

Cross my heart and hope to fly, stick a cupcake in my eye!

11.10.2016 12:38 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Mam FTP server pod utokem

Hned na zacatku dotazu se ptam jak je utok pro muj ftp server nebezpecny?

Pokud nemáš jednoduchá hesla, tak vůbec.

Jedine co mne stve (co mi vadi) ze mi zvysuje spotrebu na zdroji stroje ktery mi tu bezi v pracovne u zdi.

To je opruz. Já kvůli tomuhle dávám SSH na nestandardní port. Ale u FTP nevím jestli si s tím klienti poradí.

Ten geo-blocking, ten vypada nadejne. Co myslite?

Že budeš neustále řešit že se tam Pepa nemůže dostat, protože ho GeoIP blbě zařadilo nebo má internet od německého poskytovatele atd.

11.10.2016 12:36 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Mam FTP server pod utokem

Předpokládám z výpisu, že tvůj server je tohle. A jakýkoliv robot který dorazí na tvůj web a prochází jeho strukturu najde v odkazu "účet na serveru AutoPEN" url specifikaci s ftp protokolem serveru a pokud tento robot je robot pro botnet (a takové existují stejně jako googli robot) tak te zařadí do botnetové aktivity.

Kdybych psal botnet, tak určitě nebudu procházet web, jestli náhodou nenajdu nějakou URL, ale prostě se pokusím připojit na všechny IPv4 adresy na port 21. Tolik jich zase není, masscanem se to dá zvládnou za chvíli.

11.10.2016 15:28 Sid
Rozbalit Rozbalit vše Re: Mam FTP server pod utokem

cisto OT, vasa stranka je taka krasna ukazka ako vyzera podnikatelske baroko v svete webu. Nemyslim si, ze teda vzhlad ma prebit obsah (ako je posledna moda stranok kde pre zistenie informacie sa musi 20x odskrolovat) ale trocha striedmosti vo farbach a pozadiach by tiez neskodilo.

11.10.2016 17:09 Ludvik
Rozbalit Rozbalit vše Re: Mam FTP server pod utokem

Braň se!

11.10.2016 17:31 Luboš
Rozbalit Rozbalit vše Re: Mam FTP server pod utokem

Děkuji všem za připomínky a rady k tématu.

Postupoval jsem podle tohohle návodu:

http://xmodulo.com/block-network-traffic-by-country-linux.html

Všechno proběhlo tip, ťop.

Autor to má pěkně vysvětlené i pro začátečníky, jako jsem já.

Zakázal jsem RU, UA, IN, CN.

Zatím je klid, útok přestal, budu to sledovat, uvidím.

Nějaký ten pokus z jedné IP, co trvá hoďku dvě, to mi nevadí.

Jsou to spíš takové klukoviny. řekl bych.

Ale botnet... Jenom by mne zajímalo, kolik tam bylo v zásobě strojů (IP adres).

Tak ještě jednou děkuji a zdravím.

Luboš

Založit nové vlákno • Nahoru

Tiskni Sdílej: