| Autor |
Sõnum |
johnsmith
Vana Pingviin
Vanus: 49
Liitunud: 24.07.2006
Postitused: 714
Asukoht: Universum
Distributsioon: Ubuntu/Gentoo/FreeBSD
|
|
Viimasel ajal olen täheldanud ftp robotite uut lainet.
Kusjuures enam ei proovita erinevaid kasutajanimesid vaid ühte kasutajanime
lõpmatu arv kordi:
näiteks
Feb 1 14:40:29 ]: localhost (218.188[218.188.]) - no such user 'cherry'
Eile proovis mingi koll pool päeva järjest administraatorina sisse logida.
Ma ei tea kas see on mingi väsitamis meetod mis jätkub kuni kõvaketas logifaile täis saab.
Võib olla see on mingi uus soft mis on bugine ja eesmärk on siiski olnud proovida erinevaid kasutajaid.
Igatahes olen pidanud katkestama ühenduse võrgukorruselt sisestades uue reegli kernelisse mis viskab sellelt ip tulnud paketti maha.
Kui se nüüd niimoodi jätkub peab kirjutama skripti mis genereerib automaatselt logifailist uue tulemüüri reegli. See aga tähendab jälle üks protsess juures mul aga pole kõige uuem riistvara.
Kas keegi kunagi võtab ühendust ründaja ISP -ga ?
On see rohkem nagu võitlemine tuuleveskitega kuna lähte ip on nagunii võltsitud ?
Mul nagu ei ole midagi selle vastu kui proovitakse ära arvata kasutajat mingi mõistlik arv kordi see on aga nagu rohkem DOS rünnaku moodi.
|
|
|
|
_________________
"Thinking is the hardest work there is, which is probably the reason why so few engage in it" - Henry Ford
|
|
|
   |
uniz
Vana Pingviin
Vanus: 44
Liitunud: 18.05.2006
Postitused: 764
Distributsioon: ubuntucare
|
|
Arvatavasti kasutavad nad mõnda programmi enda valmistatud andmebaasi täiendatud paroolide ja nimedega.
kõige hullem on phpbb foorumite ja cms'ide robotitega.. ftp ja ssh samuti.
sshd saab muidugi veel ühe lisaparooli alla panna.
Mingi sibularuuteri kaudu vist rünnatakse. Üldiselt on nende andmebaas inglisekeelne- seega segavad nad ainult liiklust..
Windowsil on tehtud üks GPL põhine sibularuuteriprogrammisüsteem, mis võimaldab absoluutselt ükskõik kelle arvuti ip kaudu külastada- ükskõik millist kohta. Juhul kui see programm oli windowsi kasutaja poolt paigaldatud ja isegi freeBSD jaoks on see olemas..
Ma pean mõtlema, mis selle nimi on- pean jälle googlest hakkama ostima..
|
|
|
|
|
|
|
 |
johnsmith
Vana Pingviin
Vanus: 49
Liitunud: 24.07.2006
Postitused: 714
Asukoht: Universum
Distributsioon: Ubuntu/Gentoo/FreeBSD
|
|
Noh see andmebaasi värk on kogu aeg olnud mis seal ikka proovib paarkümmend levinud kasutajat admin, guest, test jne.
Viimasel ajal aga proovivad ühte nime ja enne ei katkesta kui ise tulemüüriga ühendust ei ploki. Seega koormab liiklust ja täidab logifaili.
Kui kuu aega ära oled siis on partitsioon täis. Muidugi mingi skript võib kontrollida partitsiooni suurust ja kustutada vanemaid logisid.
Vihale ajab juba fakt, et mingi nolk kes kasutab windowsit ja kellegi teise kirjutatud programmi istub mul kogu aeg juhtme otsas.
|
|
|
|
_________________
"Thinking is the hardest work there is, which is probably the reason why so few engage in it" - Henry Ford
|
|
|
|
johnsmith
Vana Pingviin
Vanus: 49
Liitunud: 24.07.2006
Postitused: 714
Asukoht: Universum
Distributsioon: Ubuntu/Gentoo/FreeBSD
|
|
Sshd mul on ip peal ja seal enam keegi kätt ei proovi.
Tegelikult oleks ju hea mingi riigi ip lubada ainult probleem on selles, et igal riigil on suvaliselt neid ip aadresse nii a,b kui c katekooria aadresse.
Samas jäävad ju proksid ja zombied alles.
Ma ei taha ennast ka ise ära plokkida eks see oleneb vajadusest.
Intelligentseid ründajaid on vähe ma arvan enamus ei oskagi midagi edasi teha kui saab FreeBSD mingi kasutaja shelli ette. 
Eks nad tegelikult otsivad kergeid ohvreid, mul on tegelikult oma saidil palju informatsiooni serveri kohta. Imelik keegi ei viitsi lugeda proovib ikka FreeBSD serverisse sisse logida administraatorina.
Eks see on ka tüütu kui peab neid hakkama iga õhtu käsitsi lahti ühendama.
Vanasti rünnak kestis paar minutit ja kõik nüüd istub nagu puuk küljes.
|
|
|
|
_________________
"Thinking is the hardest work there is, which is probably the reason why so few engage in it" - Henry Ford
|
|
|
|
uniz
Vana Pingviin
Vanus: 44
Liitunud: 18.05.2006
Postitused: 764
Distributsioon: ubuntucare
|
|
|
Viimati muutis uniz 03.02.2007, 18:30; muudetud 1 kord
|
|
|
|
indrek
Vana Pingviin
Vanus: 46
Liitunud: 08.07.2005
Postitused: 412
Asukoht: Tallinn
Distributsioon: Kubuntu
|
|
Neid logifaili parseijaid ja tulemüüri täiendajaid on muidu päris mitu. Ja nad on nii mugavaks tehtud, et ise pole erilst mõtet pusima hakata. Proovi näiteks seda (tõenäoliselt on ta ka su distro pakina olemas):
http://www.fail2ban.org/wiki/index.php/Features
|
|
|
|
|
|
|
|
johnsmith
Vana Pingviin
Vanus: 49
Liitunud: 24.07.2006
Postitused: 714
Asukoht: Universum
Distributsioon: Ubuntu/Gentoo/FreeBSD
|
|
Peab kaaluma asja, üldiselt mulle need valmis lahendused ei meeldi.
Töötavad kogu aeg deemonina taustal ja kirjutavad sodi konfi failidesse.
Mingi firma serveris muidugi asjalik lahendus ei olegi mõtet ise pusida.
Ma olen ise mõelnud mingit kerget skripti mis rullib crontabis iga poole tunni tagant ja lisab päti ip /etc/hosts.allow faili.
| Kood: | | proftpd : päti.ip : deny |
|
|
|
|
_________________
"Thinking is the hardest work there is, which is probably the reason why so few engage in it" - Henry Ford
|
|
|
|
Shadow
Vana Pingviin
Vanus: 49
Liitunud: 17.07.2006
Postitused: 453
Distributsioon: Gentoo
|
|
Ise kah veikest viisi ftp asja aretanud - lahendus oli pordi tõstmine. Sama ka sshd -ga. Kohe rahu majas. Muide olen messages failist lugenud ka eesti nimedega proovijaid 
Lihtsaim lahendus...
|
|
|
|
|
|
|
|
johnsmith
Vana Pingviin
Vanus: 49
Liitunud: 24.07.2006
Postitused: 714
Asukoht: Universum
Distributsioon: Ubuntu/Gentoo/FreeBSD
|
|
Sshd puhul on see reaalne kes see ikka sinna logib kui mitte ise.
Ftp puhul kui tahad, et keegi saaks kasutada seda pead õpetama teda kasutama mittestandard porti. Paljudele on probleemiks juba tavaline sisselogimine ftp serverisse.
Minu tutvusringkonnas on väga vähe Linuxi gurusid.
|
|
|
|
_________________
"Thinking is the hardest work there is, which is probably the reason why so few engage in it" - Henry Ford
|
|
|
|
sander85
Vana Pingviin
Vanus: 38
Liitunud: 08.08.2005
Postitused: 4359
Asukoht: Tallinn (vahel ka Virtsu)
Distributsioon: Mageia, Debian, CentOS
|
|
| enamusel ftp klientidel peaks pordi parameeter suht nähtaval kohal olema imo
|
|
|
|
_________________
  
|
|
|
|
johnsmith
Vana Pingviin
Vanus: 49
Liitunud: 24.07.2006
Postitused: 714
Asukoht: Universum
Distributsioon: Ubuntu/Gentoo/FreeBSD
|
|
Mul on palju selliseid kasutajaid kes ei tea mis ftp klient on.
Kasutavad explorerit ftp jaoks.
Ma olen ammu loobunud kellelegi midagi seletamast keda asi ei huvita.
|
|
|
|
_________________
"Thinking is the hardest work there is, which is probably the reason why so few engage in it" - Henry Ford
|
|
|
|
uniz
Vana Pingviin
Vanus: 44
Liitunud: 18.05.2006
Postitused: 764
Distributsioon: ubuntucare
|
|
Kas sellise lihtsa rakendusega nagu denyhosts'i ei saa kasutada ka ftp serveri jaoks? Konfiguratsioonifailis on võimalik teha täiendusi portide kohta ning isegi logifail välja lülitada, kui kardad, et sul üle 100 GB kõvaketas saab täis...
Ma täiendasin enda sshd ja denyshostsi- peale 2 valet parooli - lukustub ip aadress hosts.deny -s.
Kes tahab proovida, siis: ssh -l suvalinenimi -p 5000 uniz.myftp.org
|
|
|
|
|
|
|
|
johnsmith
Vana Pingviin
Vanus: 49
Liitunud: 24.07.2006
Postitused: 714
Asukoht: Universum
Distributsioon: Ubuntu/Gentoo/FreeBSD
|
|
| uniz kirjutas: | | Kas sellise lihtsa rakendusega nagu denyhosts'i ei saa kasutada ka ftp serveri jaoks? Konfiguratsioonifailis on võimalik teha täiendusi portide kohta ning isegi logifail välja lülitada, kui kardad, et sul üle 100 GB kõvaketas saab täis...
Ma täiendasin enda sshd ja denyshostsi- peale 2 valet parooli - lukustub ip aadress hosts.deny -s.
Kes tahab proovida, siis: ssh -l suvalinenimi -p 5000 uniz.myftp.org |
Denyhost kasutab tcp wrapperit siis sellega töötavad kõik protsessid mis käivitatakse inetd -ist või mis on lingitud libwrap libradega.
See ei olegi nii kindel, et daemon on kompileeritud tcp wrapperi toega.
Kui ise kompileerida siis saab selle peaaegu alati sisse konfida.
Mul proftpd käivitub inetd kaudu nii, et töötab.
Ma olen siin käsitsi lisanud kõvasti pätte /etc/hosts.alllow faili.
Praegu on olnud paar päeva rahulik ilmselt koolivaheaeg on läbi
Aga jah denyhosti olen ise ka mõelnud proovida.
|
|
|
|
_________________
"Thinking is the hardest work there is, which is probably the reason why so few engage in it" - Henry Ford
|
|
|
|
bsdo
Pingviini aktivist
Liitunud: 22.02.2007
Postitused: 140
Distributsioon: ubuntu server
|
|
| johnsmith kirjutas: | | uniz kirjutas: | | Kas sellise lihtsa rakendusega nagu denyhosts'i ei saa kasutada ka ftp serveri jaoks? Konfiguratsioonifailis on võimalik teha täiendusi portide kohta ning isegi logifail välja lülitada, kui kardad, et sul üle 100 GB kõvaketas saab täis...
Ma täiendasin enda sshd ja denyshostsi- peale 2 valet parooli - lukustub ip aadress hosts.deny -s.
Kes tahab proovida, siis: ssh -l suvalinenimi -p 5000 uniz.myftp.org |
Denyhost kasutab tcp wrapperit siis sellega töötavad kõik protsessid mis käivitatakse inetd -ist või mis on lingitud libwrap libradega.
See ei olegi nii kindel, et daemon on kompileeritud tcp wrapperi toega.
Kui ise kompileerida siis saab selle peaaegu alati sisse konfida.
Mul proftpd käivitub inetd kaudu nii, et töötab.
Ma olen siin käsitsi lisanud kõvasti pätte /etc/hosts.alllow faili.
Praegu on olnud paar päeva rahulik ilmselt koolivaheaeg on läbi
Aga jah denyhosti olen ise ka mõelnud proovida. |
Ise oled kõva freebsd inimene aga ei tea programmi nimega "sshit"
mõeldud ka ftp jaoks.
tutvustus:
http://www.freebsd.org/cgi/url.cgi?ports/security/sshit/pkg-descr
|
|
|
|
|
|
|
|
johnsmith
Vana Pingviin
Vanus: 49
Liitunud: 24.07.2006
Postitused: 714
Asukoht: Universum
Distributsioon: Ubuntu/Gentoo/FreeBSD
|
|
Neid asju mida ma ei tea on kindlasti rohkem kui neid mida tean.
Selle pärast ma foorumis osalengi, et targematelt juhtnööre saada.
See tundub huvitav skript olevat räägi parem kas sa ise kasutad seda ?
Ja töötab nii nagu vaja ?
|
|
|
|
_________________
"Thinking is the hardest work there is, which is probably the reason why so few engage in it" - Henry Ford
|
|
|
|
bsdo
Pingviini aktivist
Liitunud: 22.02.2007
Postitused: 140
Distributsioon: ubuntu server
|
|
| Minu teada ei panda freeBSD portsu koode ülesse, kui pole ära kontrollitud ja testitud. Sina, kes ka ise käsitsi asju oma käe järgi ära teed, võiksid ju asja proovida ja kontrollida, et kas asi töötab..
|
|
|
|
_________________
Ubuntust 
|
|
|
|
bsdo
Pingviini aktivist
Liitunud: 22.02.2007
Postitused: 140
Distributsioon: ubuntu server
|
|
Ma kasutan ainult denyhost'i ja ftp'd ei kasuta.
Tegin väljavõtte hosts.deny 'st , et mis ip 'd on DenyHosts ära keelanud (ja osa on juba prügiks läinud.)
| Kood: | | # DenyHosts: Fri Mar 9 09:37:05 2007 | sshd: 59.124.109.227
sshd: 59.124.109.227
# DenyHosts: Fri Mar 9 13:22:05 2007 | sshd: 62.181.56.14
sshd: 62.181.56.14
# DenyHosts: Fri Mar 9 19:13:36 2007 | sshd: 205.167.126.9
sshd: 205.167.126.9
# DenyHosts: Sat Mar 10 02:17:07 2007 | sshd: 86.59.23.79
sshd: 86.59.23.79
# DenyHosts: Sat Mar 10 06:06:38 2007 | sshd: 220.225.130.245
sshd: 220.225.130.245
# DenyHosts: Sat Mar 10 10:41:08 2007 | sshd: 213.220.228.254
sshd: 213.220.228.254
# DenyHosts: Sun Mar 11 05:20:10 2007 | sshd: 84.19.176.221
sshd: 84.19.176.221
# DenyHosts: Sun Mar 11 05:20:10 2007 | sshd: 200.115.112.229
sshd: 200.115.112.229
# DenyHosts: Sun Mar 11 09:27:11 2007 | sshd: 89.16.161.250
sshd: 89.16.161.250
# DenyHosts: Sun Mar 11 09:37:41 2007 | sshd: 124.30.128.132
sshd: 124.30.128.132
# DenyHosts: Sun Mar 11 14:27:43 2007 | sshd: 208.69.230.122
sshd: 208.69.230.122
# DenyHosts: Sun Mar 11 20:27:14 2007 | sshd: 210.125.217.30
sshd: 210.125.217.30
# DenyHosts: Sun Mar 11 20:51:45 2007 | sshd: 89.248.162.166
sshd: 89.248.162.166
# DenyHosts: Sun Mar 11 21:11:16 2007 | sshd: 201.30.0.140
sshd: 201.30.0.140
# DenyHosts: Mon Mar 12 02:27:46 2007 | sshd: 66.221.196.108
sshd: 66.221.196.108
# DenyHosts: Mon Mar 12 05:50:47 2007 | sshd: 211.136.107.220
sshd: 211.136.107.220
# DenyHosts: Mon Mar 12 11:13:18 2007 | sshd: 211.198.225.182
sshd: 211.198.225.182
# DenyHosts: Mon Mar 12 19:02:20 2007 | sshd: 210.75.99.251
sshd: 210.75.99.251
|
Siin on nimekiri, et mis nimedega on püütud sisse hostida:
| Kood: | | 3333:2:Fri Mar 9 09:37:35 2007
4444:2:Fri Mar 9 09:37:05 2007
5555:2:Fri Mar 9 09:37:05 2007
6666:2:Fri Mar 9 09:37:05 2007
7777:2:Fri Mar 9 09:37:05 2007
8888:2:Fri Mar 9 09:37:05 2007
9999:2:Fri Mar 9 09:36:35 2007
ab_siddique:2:Fri Mar 9 19:13:36 2007
admin:16:Mon Mar 12 19:02:20 2007
administrator:2:Sun Mar 11 21:11:16 2007
alias:18:Mon Mar 12 05:50:47 2007
andrea:2:Sun Mar 11 05:20:10 2007
cyrus:6:Sun Mar 11 20:51:45 2007
desire:7:Fri Mar 9 08:22:34 2007
extern:10:Fri Mar 9 19:13:36 2007
f_ahammad:2:Fri Mar 9 19:13:36 2007
ftp:4:Mon Mar 12 11:13:18 2007
ftpuser:2:Mon Mar 12 11:13:18 2007
guest:4:Mon Mar 12 19:02:20 2007
jack:2:Sun Mar 11 21:11:16 2007
kh_mamun:2:Fri Mar 9 19:13:36 2007
marvin:2:Sun Mar 11 21:11:46 2007
office:14:Sun Mar 11 20:51:45 2007
oracle:6:Sun Mar 11 20:52:15 2007
oubiwann:2:Sun Mar 11 00:51:10 2007
recruit:18:Mon Mar 12 05:50:47 2007
rfmngr:2:Sat Mar 10 02:17:07 2007
s_ahallad2005:2:Fri Mar 9 19:13:36 2007
sales:20:Mon Mar 12 05:50:17 2007
samba:14:Sun Mar 11 20:51:45 2007
shagor:2:Fri Mar 9 19:14:07 2007
spam:10:Sun Mar 11 20:51:45 2007
staff:22:Mon Mar 12 14:59:19 2007
test:20:Mon Mar 12 19:02:20 2007
testuser:4:Mon Mar 12 11:13:18 2007
tomcat:10:Sun Mar 11 20:51:45 2007
user:2:Sun Mar 11 20:27:14 2007
virus:8:Sun Mar 11 20:51:45 2007
webadmin:12:Mon Mar 12 11:13:18 2007
webmaster:6:Mon Mar 12 19:02:50 2007
|
|
|
|
|
_________________
Ubuntust
|
|
|
|
illukas
Vana Pingviin
Vanus: 43
Liitunud: 24.10.2006
Postitused: 2036
|
|
probleemi kohta siis ka. mul samuti mingi ahv proovis kaks päeva järjest administratorina sisse logida
Test ID: 51996
Category: FTP
Title: ProFTPD Authentication Delay Username Enumeration
Summary: ProFTPD Authentication Delay Username Enumeration
Description:
The remote FTP server according to its version number,
is a ProFTPD server vulnerable to an timing based
enumeration attack. An attacker may, by timing how
long it takes for a login to succeed or fail, determine
whether or not the user exists on the remote system.
Versions up to and including 1.2.10 are vulnerable.
http://www.securityspace.com/smysecure/catid.html?id=51996
|
|
|
|
_________________
https://www.inlink.ee
|
|
|
|
mahfiaz
Pingviini aktivist
Liitunud: 19.10.2007
Postitused: 147
|
|
Teema väga vana, aga siiski, võib-olla kellelgi on abi.
Enamik windowsikasutajaid ei mäleta nagunii ei domeeni ega porti ning kahtlevad paroolis. Kui neile postkasti saata link, milles on kõik koos, siis neid ei peagi huvitama, ainuke häda, et nad võivad oma postkasti üle http lugeda kusagil avalikus võrgus:
ftp://jaan:F5iuddeT@ftphosting.org:45032/tirimiseks
|
|
|
|
|
|
|
|
|
|
