» »

Napad na FTP server

Napad na FTP server

Karen ::

Zadnjič sem opazil zanimiv napad. Zgodil se mi je manj kot v 12. urah. Anonimni ftp sem odprl, forwardal port. Kot kaže je bila avtomatska skripta. Login pa poizkus odpiranja nekaterih glavnih map na različnih sistemih (od wwwroot mape pri IIS do linux map ipd.). Zanimivo kako hitro so poskenirali privat IP... sem naredil trecert in prišel kar daleč preko ene 25 adres. Sicer sem odprl ftp zaradi dl-ja filma z ene druge mašine, ampak ko sem prišel domov sem že bral zanimiv log. Sem si najprej mislil eni imajo preveč časa, potem sem pa pomislil še na kako skripto.

bluefish ::

In point tega posta je? No, vključno z mojim.

Karen ::

No zanima me če je to pogosta praksa, da boti skenirajo po IP scope-ih in iščejo odprte ftp-je.

ABX ::

To delajo virusi, verjetno del Botneta. Vse je popolnoma avtomatizirano.
Vaša inštalacija je uspešno spodletela!

jype ::

Karen> No zanima me če je to pogosta praksa, da boti skenirajo po IP scope-ih in iščejo odprte ftp-je.

Približno 25k povezav na dan na vsak ip, od tega približno 5k takih ki dejansko vzpostavijo tcp, ostali pa "stealth syn" in podobni.

BlueRunner ::

In to se ne dogaja samo v zadnjih časih, temveč že najmanj 11 let. Samo številke so vsako leto večje.

T.i. "šum na liniji".

Zgodovina sprememb…

Daedalus ::

No zanima me če je to pogosta praksa, da boti skenirajo po IP scope-ih in iščejo odprte ftp-je.


Postavi kako firewallano kišto direkt na net in glej loge od firewalla:) Precej divje je "tam zunaj."
Man is condemned to be free; because once thrown into the world,
he is responsible for everything he does.
[J.P.Sartre]

ABX ::

Pravijo da Windows mašina brez firewalla se okuženi v roku minute.

Ko sem se igral z Nokio kot 3G modem, prvi znak da se je uspešno povezala je bil WormBlaster. :/
Vaša inštalacija je uspešno spodletela!

333333 ::

Karen ne iscejo samo odpte ftpje. Moj je recimo zaprt a kljub temu jim je uspelo nasopat 75mb txt loga v 4 dneh z broute force attackom (ker sem pomotoma pozabil vklopit nazaj zahcito) Mors dobro zahcitit če imaš kaj ker se jim res res full da :)
Spiritual

Zgodovina sprememb…

  • spremenilo: 333333 ()

jype ::

Brute force is dumb:

May 17 13:37:56 box pure-ftpd[21907]: (?@207.38.98.132) [INFO] New connection from 207.38.98.132
May 17 13:37:57 box pure-ftpd[21907]: (?@207.38.98.132) [DEBUG] Command [user] [Administrator]
May 17 13:37:57 box pure-ftpd[21907]: (?@207.38.98.132) [WARNING] Sorry, cleartext sessions are not accepted on this server. Please reconnect using SSL/TLS security mechanisms.

al pa

May 17 13:37:26 box sshd[3491]: Failed password for root from 61.233.29.101 port 60960 ssh2
May 17 13:37:29 box sshd[3499]: Failed password for root from 61.233.29.101 port 32812 ssh2
May 17 13:37:32 box sshd[3506]: Failed password for root from 61.233.29.101 port 32906 ssh2

(Seveda je PermitRootLogin no)

I tako pet, šest hiljada puta.

Daedalus ::

Brute force is dumb:


Je pa tud dosti dumb nastavljenih mašin:)

(Seveda je PermitRootLogin no)


Al pa without-password in ssh ključi. Dokler seveda ne fašeš debilian int rand(4):))
Man is condemned to be free; because once thrown into the world,
he is responsible for everything he does.
[J.P.Sartre]

BlueRunner ::

Odkar za potrebe administracije strežnikov več ne uporabljam privzetih vrat, so logi dovolj kratki, da si jih lahko pošiljam na e-mail.

knesz ::

Brute force is dumb:

May 17 13:37:56 box pure-ftpd[21907]: (?@207.38.98.132) [INFO] New connection from 207.38.98.132
May 17 13:37:57 box pure-ftpd[21907]: (?@207.38.98.132) [DEBUG] Command [user] [Administrator]
May 17 13:37:57 box pure-ftpd[21907]: (?@207.38.98.132) [WARNING] Sorry, cleartext sessions are not accepted on this server. Please reconnect using SSL/TLS security mechanisms.

al pa

May 17 13:37:26 box sshd[3491]: Failed password for root from 61.233.29.101 port 60960 ssh2
May 17 13:37:29 box sshd[3499]: Failed password for root from 61.233.29.101 port 32812 ssh2
May 17 13:37:32 box sshd[3506]: Failed password for root from 61.233.29.101 port 32906 ssh2

(Seveda je PermitRootLogin no)

I tako pet, šest hiljada puta.


S pomočjo fail2ban se da elegantno blokirati bruteforce ter zmanjšati velikost logov :) Preverjeno.

lp

Karen ::

Sem vseeno mislil da ni tako divje (res je da nisem šel nikoli preverjat logov). Bolj zanimivo je kaj potem ko avtomatika odkrije luknjo. Ok, okuži, ampak če hočeš kakšne pametne podatke selekcionirat iz napadene mašine vedno rabiš človeški faktor. Ta del mi ni jasen (vse avtomatizirano je pač zame "tip virusa") - za toliko podatkov rabiš "živo silo". Tega en samo ustvarjalec virusa ne more, mogoče kaka vlada.
Saj v bistvu najprej niti nisem mislil FTPja odpret, samo na mašini na katero sem prišel je bila druga verzija vnc klienta, ki ni podpirala file transferjev.
Še eno vprašanje za znalce: doma imam sicer VNC dostop nastavljen tako, da je dostopen le lokalno (torej z mašino vzpostavim varno ssh povezavo, ko je tunel vzpostavljen pa naredim vnc na localhosta). Zanima me če postavim navaden VNC strežnik z geslom ki ga brute force ali dictionary attack ne bo enostavno razvozlal (beri rang milijona ali več poskusov), kakšna je realna možnost vdora v mašino, vsaj preko botov? Verjetno nizka. Rabim za dostop do fotrove mašine (torej gor ni nič pametnega), ampak glede na hitrost mašine ne bi še ssh-ja gor tlačil po nepotrebnem.

ABX ::

Če boš imel dobro geslo in boš redno posodabljal VNC potem je nevarnost nizka.

Lahko spremeniš default port, tako da te virusi ne napadajo. Vendar če kdo želi vdret v tvoj PC, menjava porta ne pomaga nič.
Vaša inštalacija je uspešno spodletela!

jype ::

knesz> S pomočjo fail2ban se da elegantno blokirati bruteforce ter zmanjšati velikost logov :) Preverjeno.

Uporabljam :)

amigo_no1 ::

Obstaja kak fail2ban alternativa za win32/64, kjer furaš kakšen ssh/ftp/kren server ?


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

"Port scan" stanje na IPv4 omrežju (strani: 1 2 )

Oddelek: Omrežja in internet
555826 (4746) AštiriL
»

Nenavaden črv napada Linksysove usmerjevalnike

Oddelek: Novice / Varnost
226550 (3231) Daniel
»

OpenSSH za Windows in certifikat

Oddelek: Omrežja in internet
62030 (2030) Poldi112
»

disable root login

Oddelek: Operacijski sistemi
181304 (994) 'FireSTORM'
»

Slackware Linux (strani: 1 2 )

Oddelek: Operacijski sistemi
673792 (2709) tx-z

Več podobnih tem