FTP Hackversuch

[rexini]

Hallo,
ich betreibe einen FTP Server, also so eingerät mit festplatte drin.

Heute guck ich in den FTP-log und sehe das hier:

FTP
Tue May 27 15:00:33 2008,Current firmware version is R4.00a3 11/08.
May 27 09:34:28 vsftpd: [Administrator] FAIL LOGIN: Client `217.70.142.193`
May 27 09:34:28 vsftpd: [Administrator] FAIL LOGIN: Client `217.70.142.193`
May 27 09:34:28 vsftpd: [Administrator] FAIL LOGIN: Client `217.70.142.193`
May 27 09:34:29 vsftpd: [Administrator] FAIL LOGIN: Client `217.70.142.193`
May 27 09:34:29 vsftpd: [Administrator] FAIL LOGIN: Client `217.70.142.193`
May 27 09:34:29 vsftpd: [Administrator] FAIL LOGIN: Client `217.70.142.193`
May 27 09:34:29 vsftpd: [Administrator] FAIL LOGIN: Client `217.70.142.193`
May 27 09:34:29 vsftpd: [Administrator] FAIL LOGIN: Client `217.70.142.193`
May 27 09:34:29 vsftpd: [Administrator] FAIL LOGIN: Client `217.70.142.193`
May 27 09:34:29 vsftpd: [Administrator] FAIL LOGIN: Client `217.70.142.193`
May 27 09:34:29 vsftpd: [Administrator] FAIL LOGIN: Client `217.70.142.193`
May 27 09:34:30 vsftpd: [Administrator] FAIL LOGIN: Client `217.70.142.193`
May 27 09:34:30 vsftpd: [Administrator] FAIL LOGIN: Client `217.70.142.193`
May 27 09:34:30 vsftpd: [Administrator] FAIL LOGIN: Client `217.70.142.193`
May 27 09:34:30 vsftpd: [Administrator] FAIL LOGIN: Client `217.70.142.193`

........

May 27 09:35:22 vsftpd: [Administrator] FAIL LOGIN: Client `217.70.142.193`
May 27 09:35:22 vsftpd: [Administrator] FAIL LOGIN: Client `217.70.142.193`
May 27 09:35:22 vsftpd: [Administrator] FAIL LOGIN: Client `217.70.142.193`
May 27 09:35:22 vsftpd: [Administrator] FAIL LOGIN: Client `217.70.142.193`
May 27 09:35:22 vsftpd: [Administrator] FAIL LOGIN: Client `217.70.142.193`
May 27 09:35:22 vsftpd: [Administrator] FAIL LOGIN: Client `217.70.142.193`
May 27 09:35:23 vsftpd: [Administrator] FAIL LOGIN: Client `217.70.142.193`
May 27 09:35:23 vsftpd: [Administrator] FAIL LOGIN: Client `217.70.142.193`
May 27 09:35:23 vsftpd: [Administrator] FAIL LOGIN: Client `217.70.142.193`
May 27 09:35:23 vsftpd: [Administrator] FAIL LOGIN: Client `217.70.142.193`
May 27 09:35:23 vsftpd: [Administrator] FAIL LOGIN: Client `217.70.142.193`

Kann da jemand versucht haben zu hacken? Oder ist das vom server selber? Weil das so kurze anstände sind. Oder ein Bot?

Danke für jede Hilfe

 

[sysop]

.....
Kann da jemand versucht haben zu hacken? Oder ist das vom server selber? Weil das so kurze anstände sind. Oder ein Bot?

Danke für jede Hilfe

bots werden weniger versuchen, sich als admin einzuloggen. da versucht jemand per script zugang zu bekommen. was sagen denn die logfiles zu portscans ?

vsftp admin-login ist wohl eher root :roll: !
wenn der server selbst versucht sich zu hacken, ist schon bei der installation was schief gegangen, mal abgesehen davon, dass der server sich nicht verbinden muss. die frage lässt mich vermuten, dass du nicht so genau weisst, was du da tust. dir ist hoffentlich schon klar, dass du auch verantwortlich bist, wenn z.b. ein kinderporno bei dir landet.

also mach dir keinen kopf. wenn du einen ftp-server betreibst, ist das normal, das scripte versuchen zugang zu bekommen.

 

[rexini]

Danke,
Hast recht hab ihn erst seit 2 wochen und, wegen Kinder****** ich überprüf ihn auch täglich.

Das das der Server selber macht glaub ich auch net weil es unter FTP kein Administrator Konto gibt.

Schon sehr merkwürdig

 

[sysop]

wie gesagt, merkwürdig ist das eigentlich garnicht, wenn man mit einem server im netz steht.

spider veranlassen erst einen portscan, dabei kommt raus, dass du port 21 offen hast. danach versuchen sich verschiedene scripte auf den ftp-port zu verbinden.

da als user administrator verwemndet wird, gehe ich mal davon aus, dass nach einem windows-server gesucht wird um auf verschiedene bugs in den bekannstesten windows-basierenden ftp-servern zu testen. in vielen fällen haben die spinner auch erfolg, da solche admins häufig updates und service-packs etc vernachlässigen.

auch deine aussage, dass es keinen adminzugang gibt stimmt so nicht. da du an das login (benutzer und passwort) auch die rechte z.b. für upload binden kannst und der eine oder andere windows ftp-server einfach die userkonten zum authentifizieren verwendet, ist ein login mit administrator und dann mit uploadrechten/verzeichnisse erstellen/loschen etc gar nicht so unlogisch.

dein vsftp scheint aber mit linux zu laufen (gibt es eigentlich einen vsftp-server für windows) und somit prallen die knilche einfach ab.

mein tip:
erweitere mal dein log und logge verwendete passwörter und useragents mit. dann siehst du, ob scripte kommen (die wechseln häufig den agent) und ob mit einem wörterbuch getstet wird. wenn ja, solltest du dein adminpasswort auf sicherheit prüfen (wenigstens 8 zeichen, gross/kleinbuchstaben, ziffern und sonderzeichen).


du würdest dich wundern, in wie vielen fällen man mit solchen aktionen erfolg hat.

ps.
frag mal whois mit der ip ab....

 

[DerMitSkill]

Könntest außerdem den Port verschieben ;) Dann nerven dich die meisten Bots nicht mehr. Setz einfach von 21 auf 2121, leicht zu merken, wird aber meistens - zumindest nicht von Bots - gescannt.

Aber von FTP halte ich sowieso nichts -> SFTP (SSH FTP)

Sorry für die rausgeholte Leiche...

 

[jukleidie]

Every little helps a mickle.　　　 /　\./　\/\_　　 I Hand You　 __{^\_ _}_　 )　}/^\　　　 A Rose...　/　/\_/^\._}_/　//　/ (　(__{(@)}\__}.//_/__A___A__wow gold____A__wow gold_A______A____　\__/{/(_)\_}　)\\ \\---v----V-----V--Y----v---Y-----　　(　 (__)_)_/　)\ \>　　　　 \__/　　 \__/\/\/

Der Junge gehört eingesperrt... sowas hat der schon 6 Mal geliefert...
Mods??
ZUGRIFF!!!;ugl

Lebenslanger Ausschluss ausm Forum würd ich sagen =)

EDIT: Mist!!! Ist gerade kein Mod on^^ jajaja... Unterbesetzt...

 

[rexini]

das hat jetzt zwar nix mit dem eigentlichem zu tun aber was haltet ihr davon:

Habe ich auf meiner Clanpage gefunden. Hab mein sowieso schon eig sicheres Passwort noch weiter verstärkt. Hattet ihr das auch schonmal? Lag im Ordner "Downloads" und oben in der Index.html war ein Metatag drin.