WN

WN (https://www.wn.se/forum/index.php)
-   Serversidans teknologier (https://www.wn.se/forum/forumdisplay.php?f=4)
-   -   Försöker någon att ta sig in på min ftp? (https://www.wn.se/forum/showthread.php?t=34986)

xciso 2009-02-07 05:06
Tja.
Satt och gick igenom lite loggfiler på min vps.
Kollade i filen var/log/proftpd/auth.log och fick se detta.

Kod:
ProFTPd [32239] 213.219.108.157 [06/Feb/2009:16:10:54 +0100] "PASS (hidden)" 530
ProFTPd [32239] 213.219.108.157 [06/Feb/2009:16:10:54 +0100] "USER Administrator" 331
ProFTPd [32242] 213.219.108.157 [06/Feb/2009:16:10:55 +0100] "USER Administrator" 331
ProFTPd [32242] 213.219.108.157 [06/Feb/2009:16:10:55 +0100] "PASS (hidden)" 530
ProFTPd [32242] 213.219.108.157 [06/Feb/2009:16:10:55 +0100] "USER Administrator" 331
ProFTPd [32242] 213.219.108.157 [06/Feb/2009:16:10:55 +0100] "PASS (hidden)" 530
ProFTPd [32242] 213.219.108.157 [06/Feb/2009:16:10:55 +0100] "USER Administrator" 331
ProFTPd [32251] 213.219.108.157 [06/Feb/2009:16:10:56 +0100] "USER Administrator" 331
ProFTPd [32251] 213.219.108.157 [06/Feb/2009:16:10:56 +0100] "PASS (hidden)" 530
ProFTPd [32251] 213.219.108.157 [06/Feb/2009:16:10:59 +0100] "USER Administrator" 331
ProFTPd [32251] 213.219.108.157 [06/Feb/2009:16:10:59 +0100] "PASS (hidden)" 530
ProFTPd [32251] 213.219.108.157 [06/Feb/2009:16:11:00 +0100] "USER Administrator" 331
ProFTPd [32309] 213.219.108.157 [06/Feb/2009:16:11:12 +0100] "USER Administrator" 331
ProFTPd [32309] 213.219.108.157 [06/Feb/2009:16:11:13 +0100] "PASS (hidden)" 530
ProFTPd [32309] 213.219.108.157 [06/Feb/2009:16:11:13 +0100] "USER Administrator" 331
ProFTPd [32309] 213.219.108.157 [06/Feb/2009:16:11:13 +0100] "PASS (hidden)" 530
ProFTPd [32309] 213.219.108.157 [06/Feb/2009:16:11:13 +0100] "USER Administrator" 331
ProFTPd [32353] 213.219.108.157 [06/Feb/2009:16:11:13 +0100] "USER Administrator" 331
ProFTPd [32353] 213.219.108.157 [06/Feb/2009:16:11:13 +0100] "PASS (hidden)" 530
ProFTPd [32353] 213.219.108.157 [06/Feb/2009:16:11:14 +0100] "USER Administrator" 331
ProFTPd [32353] 213.219.108.157 [06/Feb/2009:16:11:15 +0100] "PASS (hidden)" 530
ProFTPd [32353] 213.219.108.157 [06/Feb/2009:16:11:15 +0100] "USER Administrator" 331
ProFTPd [32374] 213.219.108.157 [06/Feb/2009:16:11:16 +0100] "USER Administrator" 331
ProFTPd [32374] 213.219.108.157 [06/Feb/2009:16:11:16 +0100] "PASS (hidden)" 530
ProFTPd [32374] 213.219.108.157 [06/Feb/2009:16:11:16 +0100] "USER Administrator" 331
ProFTPd [32374] 213.219.108.157 [06/Feb/2009:16:11:16 +0100] "PASS (hidden)" 530
ProFTPd [32374] 213.219.108.157 [06/Feb/2009:16:11:17 +0100] "USER Administrator" 331
ProFTPd [32572] 213.219.108.157 [06/Feb/2009:16:12:05 +0100] "USER Administrator" 331
ProFTPd [32572] 213.219.108.157 [06/Feb/2009:16:12:05 +0100] "PASS (hidden)" 530
ProFTPd [32572] 213.219.108.157 [06/Feb/2009:16:12:06 +0100] "USER Administrator" 331
ProFTPd [32572] 213.219.108.157 [06/Feb/2009:16:12:06 +0100] "PASS (hidden)" 530
ProFTPd [32572] 213.219.108.157 [06/Feb/2009:16:12:06 +0100] "USER Administrator" 331
ProFTPd [32578] 213.219.108.157 [06/Feb/2009:16:12:06 +0100] "USER Administrator" 331
ProFTPd [32578] 213.219.108.157 [06/Feb/2009:16:12:06 +0100] "PASS (hidden)" 530
ProFTPd [32578] 213.219.108.157 [06/Feb/2009:16:12:08 +0100] "USER Administrator" 331
ProFTPd [32578] 213.219.108.157 [06/Feb/2009:16:12:08 +0100] "PASS (hidden)" 530
ProFTPd [32578] 213.219.108.157 [06/Feb/2009:16:12:08 +0100] "USER Administrator" 331
ProFTPd [32594] 213.219.108.157 [06/Feb/2009:16:12:10 +0100] "USER Administrator" 331
ProFTPd [32594] 213.219.108.157 [06/Feb/2009:16:12:10 +0100] "PASS (hidden)" 530
ProFTPd [32594] 213.219.108.157 [06/Feb/2009:16:12:11 +0100] "USER Administrator" 331
ProFTPd [32594] 213.219.108.157 [06/Feb/2009:16:12:11 +0100] "PASS (hidden)" 530
ProFTPd [32594] 213.219.108.157 [06/Feb/2009:16:12:11 +0100] "USER Administrator" 331
ProFTPd [17973] 213.64.25.37 [07/Feb/2009:00:51:21 +0100] "USER KOMPIS SOM LAGGAT IN" 331
ProFTPd [17973] 213.64.25.37 [07/Feb/2009:00:51:21 +0100] "PASS (hidden)" 230
ProFTPd [19547] 83.226.250.78 [07/Feb/2009:00:52:34 +0100] "USER KOMPIS SOM LOAGGAT IN" 331
ProFTPd [19547] 83.226.250.78 [07/Feb/2009:00:52:34 +0100] "PASS (hidden)" 230
ProFTPd [5130] 213.64.25.37 [07/Feb/2009:01:45:09 +0100] "USER KOMPIS SOM LAGGAT IN" 331
ProFTPd [5130] 213.64.25.37 [07/Feb/2009:01:45:09 +0100] "PASS (hidden)" 230
ProFTPd [25805] 81.235.155.130 [07/Feb/2009:04:49:56 +0100] "USER JAG SOM LOGGAT IN" 331
ProFTPd [25805] 81.235.155.130 [07/Feb/2009:04:49:56 +0100] "PASS (hidden)" 230
ip nummer 213.219.108.157 spåras till estland, och där känner jag ingen som ska få logga in..
Är detta ett försök till intrång? Kan man förhindra detta på något sätt? Vad bör man göra åt det?

foks 2009-02-07 09:14
Ja, det ser ut som ett försök till intrång. Men så länge du använder vettiga passwords (som inte finns med i någon ordlista) och håller servern uppdaterad kommer det att stanna vid intrångsförsök och det får man leva med.

xciso 2009-02-07 09:21
OK. Självklart använder man bra lösenord med både bokstäver och siffror ;)

emilv 2009-02-07 10:00
Driver du en FTP-server får du räkna med detta. Se till att inte ha någon användare som heter administrator, admin eller root på FTP:n så kommer 99% av attackerna misslyckas redan på användarnamnet. Har du ett bra lösenord misslyckas även den sista procenten.

Är du ändå orolig så kan du köra FTP på en annan port istället.

Lindahl 2009-02-07 10:21
I vissa serverprogramvaror kan man även ställa in så att ip-adresser spärras en viss tid om de angivit felaktigt lösenord flera gånger i följd.

KristianE 2009-02-07 13:50
Installera Fail2Ban så bannar du automatiskt IP't i
x min efter x misslyckade försök.

Default-konfigurationen stödjer ProFTP såvitt jag kan
se.

vidir 2009-02-07 15:27
Du kan så gott som spärra "ip range" från alla forna öst baltikum, vi har endast fått massa skit från dessa länder, där finns inga potentionella kunder uta de är bara ute efter pengar..

taz76 2009-02-07 16:40
... och undvik lösenord som "gud" ;) eller ja.. "gud1" eftersom du skrev du körde med bokstäver och siffror :ph34r:

KristianE 2009-02-07 18:20
Givetvis ska lösenord vara runt 15 tkn
långa och innehålla tecken från alla
olika grupper:
versaler (A)
gemener (y)
siffror (5)
symboler ($)

Den femte gruppen ÅÄÖ är inte helt tokig
om man sitter med svenskt tangentbord.

hundserver 2009-02-07 18:38
samt inte använda vanliga användarnamn som ex admin,administrator,webmaster osv,

tartareandesire 2009-02-07 19:32
Citat:
Originally posted by vidir@Feb 7 2009, 16:27
Du kan så gott som spärra ip range från alla forna öst baltikum, vi har endast fått massa skit från dessa länder, där finns inga potentionella kunder uta de är bara ute efter pengar..
Öst-Baltikum? Vad är Väst-Baltikum? =)

Det beror ju helt på vad du har för sajt. Är den helsvensk så är det ju ganska naturligt att spärra men annars kan du mycket väl få kunder därifrån och då tycker jag det är helt fel utav flera anledningar.

Danielos 2009-02-07 22:41
Du borde stänga av ftp och köra endast sftp.

xciso 2009-02-08 11:47
Citat:
Originally posted by danielos@Feb 7 2009, 23:41
Du borde stänga av ftp och köra endast sftp.
Kan du förklara detta lite mer?

KarlRoos 2009-02-08 13:52
Citat:
Ursprungligen postat av xciso
Citat:
Ursprungligen postat av danielos
Du borde stänga av ftp och köra endast sftp.
Kan du förklara detta lite mer?
SFTP är mycket säkrare än FTP, http://en.wikipedia.org/wiki/SSH_File_Tran...ansfer_Protocol

Ta en titt på OpenSSH, det är ganska lätt att sätta upp.


Alla tider är GMT +2. Klockan är nu 23:21.

Programvara från: vBulletin® Version 3.8.2
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
Svensk översättning av: Anders Pettersson