| Autor |
Sõnum |
johnsmith
Vana Pingviin
Vanus: 50
Liitunud: 24.07.2006
Postitused: 714
Asukoht: Universum
Distributsioon: Ubuntu/Gentoo/FreeBSD
|
 postitatud: 01.02.2007, 16:05 postituse pealkiri:
ftp robotid
|
   |
|
Viimasel ajal olen täheldanud ftp robotite uut lainet.
Kusjuures enam ei proovita erinevaid kasutajanimesid vaid ühte kasutajanime
lõpmatu arv kordi:
näiteks
Feb 1 14:40:29 ]: localhost (218.188[218.188.]) - no such user 'cherry'
Eile proovis mingi koll pool päeva järjest administraatorina sisse logida.
Ma ei tea kas see on mingi väsitamis meetod mis jätkub kuni kõvaketas logifaile täis saab.
Võib olla see on mingi uus soft mis on bugine ja eesmärk on siiski olnud proovida erinevaid kasutajaid.
Igatahes olen pidanud katkestama ühenduse võrgukorruselt sisestades uue reegli kernelisse mis viskab sellelt ip tulnud paketti maha.
Kui se nüüd niimoodi jätkub peab kirjutama skripti mis genereerib automaatselt logifailist uue tulemüüri reegli. See aga tähendab jälle üks protsess juures mul aga pole kõige uuem riistvara.
Kas keegi kunagi võtab ühendust ründaja ISP -ga ?
On see rohkem nagu võitlemine tuuleveskitega kuna lähte ip on nagunii võltsitud ?
Mul nagu ei ole midagi selle vastu kui proovitakse ära arvata kasutajat mingi mõistlik arv kordi see on aga nagu rohkem DOS rünnaku moodi.
|
|
|
|
_________________
"Thinking is the hardest work there is, which is probably the reason why so few engage in it" - Henry Ford
|
|
|
   |
uniz
Vana Pingviin
Vanus: 45
Liitunud: 18.05.2006
Postitused: 764
Distributsioon: ubuntucare
|
| postitatud: 01.02.2007, 16:50 postituse pealkiri:
(teema puudub)
|
|
|
Arvatavasti kasutavad nad mõnda programmi enda valmistatud andmebaasi täiendatud paroolide ja nimedega.
kõige hullem on phpbb foorumite ja cms'ide robotitega.. ftp ja ssh samuti.
sshd saab muidugi veel ühe lisaparooli alla panna.
Mingi sibularuuteri kaudu vist rünnatakse. Üldiselt on nende andmebaas inglisekeelne- seega segavad nad ainult liiklust..
Windowsil on tehtud üks GPL põhine sibularuuteriprogrammisüsteem, mis võimaldab absoluutselt ükskõik kelle arvuti ip kaudu külastada- ükskõik millist kohta. Juhul kui see programm oli windowsi kasutaja poolt paigaldatud ja isegi freeBSD jaoks on see olemas..
Ma pean mõtlema, mis selle nimi on- pean jälle googlest hakkama ostima..
|
|
|
|
|
|
|
 |
johnsmith
Vana Pingviin
Vanus: 50
Liitunud: 24.07.2006
Postitused: 714
Asukoht: Universum
Distributsioon: Ubuntu/Gentoo/FreeBSD
|
| postitatud: 01.02.2007, 17:19 postituse pealkiri:
(teema puudub)
|
|
|
Noh see andmebaasi värk on kogu aeg olnud mis seal ikka proovib paarkümmend levinud kasutajat admin, guest, test jne.
Viimasel ajal aga proovivad ühte nime ja enne ei katkesta kui ise tulemüüriga ühendust ei ploki. Seega koormab liiklust ja täidab logifaili.
Kui kuu aega ära oled siis on partitsioon täis. Muidugi mingi skript võib kontrollida partitsiooni suurust ja kustutada vanemaid logisid.
Vihale ajab juba fakt, et mingi nolk kes kasutab windowsit ja kellegi teise kirjutatud programmi istub mul kogu aeg juhtme otsas.
|
|
|
|
_________________
"Thinking is the hardest work there is, which is probably the reason why so few engage in it" - Henry Ford
|
|
|
|
johnsmith
Vana Pingviin
Vanus: 50
Liitunud: 24.07.2006
Postitused: 714
Asukoht: Universum
Distributsioon: Ubuntu/Gentoo/FreeBSD
|
| postitatud: 01.02.2007, 20:35 postituse pealkiri:
(teema puudub)
|
|
|
Sshd mul on ip peal ja seal enam keegi kätt ei proovi.
Tegelikult oleks ju hea mingi riigi ip lubada ainult probleem on selles, et igal riigil on suvaliselt neid ip aadresse nii a,b kui c katekooria aadresse.
Samas jäävad ju proksid ja zombied alles.
Ma ei taha ennast ka ise ära plokkida eks see oleneb vajadusest.
Intelligentseid ründajaid on vähe ma arvan enamus ei oskagi midagi edasi teha kui saab FreeBSD mingi kasutaja shelli ette. 
Eks nad tegelikult otsivad kergeid ohvreid, mul on tegelikult oma saidil palju informatsiooni serveri kohta. Imelik keegi ei viitsi lugeda proovib ikka FreeBSD serverisse sisse logida administraatorina.
Eks see on ka tüütu kui peab neid hakkama iga õhtu käsitsi lahti ühendama.
Vanasti rünnak kestis paar minutit ja kõik nüüd istub nagu puuk küljes.
|
|
|
|
_________________
"Thinking is the hardest work there is, which is probably the reason why so few engage in it" - Henry Ford
|
|
|
|
uniz
Vana Pingviin
Vanus: 45
Liitunud: 18.05.2006
Postitused: 764
Distributsioon: ubuntucare
|
| postitatud: 01.02.2007, 20:52 postituse pealkiri:
(teema puudub)
|
|
|
|
Viimati muutis uniz 03.02.2007, 18:30; muudetud 1 kord
|
|
|
|
indrek
Vana Pingviin
Vanus: 47
Liitunud: 08.07.2005
Postitused: 412
Asukoht: Tallinn
Distributsioon: Kubuntu
|
| postitatud: 02.02.2007, 21:26 postituse pealkiri:
(teema puudub)
|
|
|
Neid logifaili parseijaid ja tulemüüri täiendajaid on muidu päris mitu. Ja nad on nii mugavaks tehtud, et ise pole erilst mõtet pusima hakata. Proovi näiteks seda (tõenäoliselt on ta ka su distro pakina olemas):
http://www.fail2ban.org/wiki/index.php/Features
|
|
|
|
|
|
|
|
johnsmith
Vana Pingviin
Vanus: 50
Liitunud: 24.07.2006
Postitused: 714
Asukoht: Universum
Distributsioon: Ubuntu/Gentoo/FreeBSD
|
|
|
|
Shadow
Vana Pingviin
Vanus: 50
Liitunud: 17.07.2006
Postitused: 453
Distributsioon: Gentoo
|
| postitatud: 03.02.2007, 09:49 postituse pealkiri:
(teema puudub)
|
|
|
Ise kah veikest viisi ftp asja aretanud - lahendus oli pordi tõstmine. Sama ka sshd -ga. Kohe rahu majas. Muide olen messages failist lugenud ka eesti nimedega proovijaid 
Lihtsaim lahendus...
|
|
|
|
|
|
|
|
johnsmith
Vana Pingviin
Vanus: 50
Liitunud: 24.07.2006
Postitused: 714
Asukoht: Universum
Distributsioon: Ubuntu/Gentoo/FreeBSD
|
| postitatud: 03.02.2007, 12:23 postituse pealkiri:
(teema puudub)
|
|
|
Sshd puhul on see reaalne kes see ikka sinna logib kui mitte ise.
Ftp puhul kui tahad, et keegi saaks kasutada seda pead õpetama teda kasutama mittestandard porti. Paljudele on probleemiks juba tavaline sisselogimine ftp serverisse.
Minu tutvusringkonnas on väga vähe Linuxi gurusid.
|
|
|
|
_________________
"Thinking is the hardest work there is, which is probably the reason why so few engage in it" - Henry Ford
|
|
|
|
sander85
Vana Pingviin
Vanus: 39
Liitunud: 08.08.2005
Postitused: 4359
Asukoht: Tallinn (vahel ka Virtsu)
Distributsioon: Mageia, Debian, CentOS
|
| postitatud: 03.02.2007, 16:01 postituse pealkiri:
(teema puudub)
|
|
|
| enamusel ftp klientidel peaks pordi parameeter suht nähtaval kohal olema imo
|
|
|
|
_________________
  
|
|
|
|
johnsmith
Vana Pingviin
Vanus: 50
Liitunud: 24.07.2006
Postitused: 714
Asukoht: Universum
Distributsioon: Ubuntu/Gentoo/FreeBSD
|
| postitatud: 03.02.2007, 16:28 postituse pealkiri:
(teema puudub)
|
|
|
Mul on palju selliseid kasutajaid kes ei tea mis ftp klient on.
Kasutavad explorerit ftp jaoks.
Ma olen ammu loobunud kellelegi midagi seletamast keda asi ei huvita.
|
|
|
|
_________________
"Thinking is the hardest work there is, which is probably the reason why so few engage in it" - Henry Ford
|
|
|
|
uniz
Vana Pingviin
Vanus: 45
Liitunud: 18.05.2006
Postitused: 764
Distributsioon: ubuntucare
|
| postitatud: 07.02.2007, 16:40 postituse pealkiri:
(teema puudub)
|
|
|
Kas sellise lihtsa rakendusega nagu denyhosts'i ei saa kasutada ka ftp serveri jaoks? Konfiguratsioonifailis on võimalik teha täiendusi portide kohta ning isegi logifail välja lülitada, kui kardad, et sul üle 100 GB kõvaketas saab täis...
Ma täiendasin enda sshd ja denyshostsi- peale 2 valet parooli - lukustub ip aadress hosts.deny -s.
Kes tahab proovida, siis: ssh -l suvalinenimi -p 5000 uniz.myftp.org
|
|
|
|
|
|
|
|
johnsmith
Vana Pingviin
Vanus: 50
Liitunud: 24.07.2006
Postitused: 714
Asukoht: Universum
Distributsioon: Ubuntu/Gentoo/FreeBSD
|
|
|
|
bsdo
Pingviini aktivist
Liitunud: 22.02.2007
Postitused: 140
Distributsioon: ubuntu server
|
| postitatud: 22.02.2007, 15:49 postituse pealkiri:
(teema puudub)
|
|
|
| johnsmith kirjutas: < Vali > < Laienda > | | uniz kirjutas: < Vali > < Laienda > | | Kas sellise lihtsa rakendusega nagu denyhosts'i ei saa kasutada ka ftp serveri jaoks? Konfiguratsioonifailis on võimalik teha täiendusi portide kohta ning isegi logifail välja lülitada, kui kardad, et sul üle 100 GB kõvaketas saab täis...
Ma täiendasin enda sshd ja denyshostsi- peale 2 valet parooli - lukustub ip aadress hosts.deny -s.
Kes tahab proovida, siis: ssh -l suvalinenimi -p 5000 uniz.myftp.org |
Denyhost kasutab tcp wrapperit siis sellega töötavad kõik protsessid mis käivitatakse inetd -ist või mis on lingitud libwrap libradega.
See ei olegi nii kindel, et daemon on kompileeritud tcp wrapperi toega.
Kui ise kompileerida siis saab selle peaaegu alati sisse konfida.
Mul proftpd käivitub inetd kaudu nii, et töötab.
Ma olen siin käsitsi lisanud kõvasti pätte /etc/hosts.alllow faili.
Praegu on olnud paar päeva rahulik ilmselt koolivaheaeg on läbi
Aga jah denyhosti olen ise ka mõelnud proovida. |
Ise oled kõva freebsd inimene aga ei tea programmi nimega "sshit"
mõeldud ka ftp jaoks.
tutvustus:
http://www.freebsd.org/cgi/url.cgi?ports/security/sshit/pkg-descr
|
|
|
|
|
|
|
|
johnsmith
Vana Pingviin
Vanus: 50
Liitunud: 24.07.2006
Postitused: 714
Asukoht: Universum
Distributsioon: Ubuntu/Gentoo/FreeBSD
|
| postitatud: 22.02.2007, 21:25 postituse pealkiri:
(teema puudub)
|
|
|
Neid asju mida ma ei tea on kindlasti rohkem kui neid mida tean.
Selle pärast ma foorumis osalengi, et targematelt juhtnööre saada.
See tundub huvitav skript olevat räägi parem kas sa ise kasutad seda ?
Ja töötab nii nagu vaja ?
|
|
|
|
_________________
"Thinking is the hardest work there is, which is probably the reason why so few engage in it" - Henry Ford
|
|
|
|
bsdo
Pingviini aktivist
Liitunud: 22.02.2007
Postitused: 140
Distributsioon: ubuntu server
|
| postitatud: 23.02.2007, 11:15 postituse pealkiri:
(teema puudub)
|
|
|
| Minu teada ei panda freeBSD portsu koode ülesse, kui pole ära kontrollitud ja testitud. Sina, kes ka ise käsitsi asju oma käe järgi ära teed, võiksid ju asja proovida ja kontrollida, et kas asi töötab..
|
|
|
|
_________________
Ubuntust 
|
|
|
|
bsdo
Pingviini aktivist
Liitunud: 22.02.2007
Postitused: 140
Distributsioon: ubuntu server
|
|
|
|
illukas
Vana Pingviin
Vanus: 44
Liitunud: 24.10.2006
Postitused: 2036
|
| postitatud: 02.07.2007, 22:54 postituse pealkiri:
(teema puudub)
|
|
|
probleemi kohta siis ka. mul samuti mingi ahv proovis kaks päeva järjest administratorina sisse logida
Test ID: 51996
Category: FTP
Title: ProFTPD Authentication Delay Username Enumeration
Summary: ProFTPD Authentication Delay Username Enumeration
Description:
The remote FTP server according to its version number,
is a ProFTPD server vulnerable to an timing based
enumeration attack. An attacker may, by timing how
long it takes for a login to succeed or fail, determine
whether or not the user exists on the remote system.
Versions up to and including 1.2.10 are vulnerable.
http://www.securityspace.com/smysecure/catid.html?id=51996
|
|
|
|
_________________
https://www.inlink.ee
|
|
|
|
mahfiaz
Pingviini aktivist
Liitunud: 19.10.2007
Postitused: 147
|
| postitatud: 21.10.2007, 09:08 postituse pealkiri:
(teema puudub)
|
|
|
Teema väga vana, aga siiski, võib-olla kellelgi on abi.
Enamik windowsikasutajaid ei mäleta nagunii ei domeeni ega porti ning kahtlevad paroolis. Kui neile postkasti saata link, milles on kõik koos, siis neid ei peagi huvitama, ainuke häda, et nad võivad oma postkasti üle http lugeda kusagil avalikus võrgus:
ftp://jaan:F5iuddeT@ftphosting.org:45032/tirimiseks
|
|
|
|
|
|
|
|
|
|
