Брутфорс ФТП...

Антивирусная защита Ваших домашних компьютеров.

Модераторы: Tiger, The Lord of the Rings

SERGant
Сообщения: 1003
Зарегистрирован: Вс 26 сен, 2004 22:04
Откуда: с планеты The Мля
Контактная информация:

Брутфорс ФТП...

Сообщение SERGant » Вс 07 дек, 2008 15:31

Добрый день. Возникла следующая проблема:
Я настроил на Рутере АСУС свой домашний фтп. ТК у меня стат. IP то я открыл доссуп для своих друзей (ну там по учебе мы всякие лабы, отчеты выкладываем). Просматривая логи рутера (System Log) обнаружил, что уже n-ный день кто-то пытается забрутфорсить мой фтп... )= Логин Administartor, хотя такого пользователя у меня вообще нет... IP адреса меняются переодически... Whois говорит, что злоумышленник использует проксики, тк адреса принадлежат то колумбии, то амерам, то китайцам... В принципе у чувака ничего не получится, но все таки, что сделать чтоб надежно защититься от кидисов?

Сервер ftp: vsftpd
Прошивка "От Олега", стоит iptables.

Спасибо.

Аватара пользователя
Vi
Сообщения: 1860
Зарегистрирован: Сб 16 окт, 2004 18:39
Контактная информация:

Re: Брутфорс ФТП...

Сообщение Vi » Вс 07 дек, 2008 16:28

Защита от брута:
1. Попробуй прикрутить капчу если это возможно. Самый лучший вариант.
2. Можно включить ограничение, например если введен неправильный код 2-3 раза - блокировать IP на сутки (к примеру)
3. Прописать IP адреса (или диапазоны IP) тех людей которым разрешен доступ, а все остальные диапазоны попробовать заблокировать.

ну и установить имя и пароль не менее 8-9 знаков и символов, пусть брутят до потери сознания :D .

SERGant
Сообщения: 1003
Зарегистрирован: Вс 26 сен, 2004 22:04
Откуда: с планеты The Мля
Контактная информация:

Re: Брутфорс ФТП...

Сообщение SERGant » Пн 08 дек, 2008 4:24

Да у меня вообще нету пользователя "Administrator")
Капчу нельзя, фтп сервер же, там ftp <adress>
Да и макс. попыток стоит 3, потом дроп, а хотелось бы временный бан, минут скажем на пятнадцать...
А то что это такое...

Код: Выделить всё

Dec  7 11:25:04 vsftpd[1246]: CONNECT: Client "200.75.13.231"
Dec  7 11:25:06 vsftpd[1245]: [Administrator] FAIL LOGIN: Client "200.75.13.231"
Dec  7 11:25:10 vsftpd[1245]: [Administrator] FAIL LOGIN: Client "200.75.13.231"
Dec  7 11:25:14 vsftpd[1245]: [Administrator] FAIL LOGIN: Client "200.75.13.231"
Dec  7 11:25:17 vsftpd[1248]: CONNECT: Client "200.75.13.231"
Dec  7 11:25:19 vsftpd[1247]: [Administrator] FAIL LOGIN: Client "200.75.13.231"
Dec  7 11:25:23 vsftpd[1247]: [Administrator] FAIL LOGIN: Client "200.75.13.231"
Dec  7 11:25:29 vsftpd[1247]: [Administrator] FAIL LOGIN: Client "200.75.13.231"

Аватара пользователя
Tiger
Модератор
Сообщения: 2781
Зарегистрирован: Чт 24 июл, 2003 14:13
Откуда: Tiger@jabber.tushino.com. Погода,TV-прогр, фильмы и мн. др.: ftp:// http://10.80.192.167
Контактная информация:

Re: Брутфорс ФТП...

Сообщение Tiger » Пн 08 дек, 2008 15:59

Vi писал(а):1. Попробуй прикрутить капчу если это возможно. Самый лучший вариант.
2. Можно включить ограничение, например если введен неправильный код 2-3 раза - блокировать IP на сутки (к примеру)
3. Прописать IP адреса (или диапазоны IP) тех людей которым разрешен доступ, а все остальные диапазоны попробовать заблокировать.

Я не думаю что первый совет применим к FTP, а второй не в каждом сервере, а третий легко и практически везде. А вообще попытки взлома сервисов в интернете это нормальное явление.
С уважением Tiger.

SERGant
Сообщения: 1003
Зарегистрирован: Вс 26 сен, 2004 22:04
Откуда: с планеты The Мля
Контактная информация:

Re: Брутфорс ФТП...

Сообщение SERGant » Пн 08 дек, 2008 20:29

нашёл интересный проект fail2ban. Погуглите первая ссылка.

Аватара пользователя
Vi
Сообщения: 1860
Зарегистрирован: Сб 16 окт, 2004 18:39
Контактная информация:

Re: Брутфорс ФТП...

Сообщение Vi » Сб 20 дек, 2008 21:09

Tiger писал(а):Я не думаю что первый совет применим к FTP

Ага, совершенно точно, это я что то неподумал :)

SERGant писал(а):нашёл интересный проект fail2ban. Погуглите первая ссылка.

Интересно. Но мне думается проще всего прописать IP адреса (или диапазоны) тех людей которые имеют доступ к FTP а для всех остальных - редирект на 404.


Вернуться в «AIDS»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 2 гостя