bolug bonner linux user group
news about wissen files archive hilfe suchen  

 

archive :: SchAN-User

druckfassung

SchAN-User

Re: [Schan-user] Angriffsversuch über proftpd

To: schan-user@xxxxxxxxxxxxxxxxx
Subject: Re: [Schan-user] Angriffsversuch über proftpd
From: "Helmut Hullen" <hhullen@xxxxxxxxxxxx>
Date: Tue, 18 Mar 2014 05:51:00 +0100
Hallo, Gerhard,

Du meintest am 17.03.14:

> (this.is.a.tor.exit.node.zzif.net[185.31.136.244]) - FTP session
> opened. Mar 17 20:26:20 Arktur proftpd[5168]: Arktur_
> (this.is.a.tor.exit.node.zzif.net[185.31.136.244]) - ANON anonymous:
> Login successful.
> Mar 17 20:26:20 Arktur proftpd[5168]: Arktur_
> (this.is.a.tor.exit.node.zzif.net[185.31.136.244]) - Preparing to
> chroot to directory '/home/ftp'
> Mar 17 20:27:36 Arktur proftpd[5189]: connect from 185.31.136.244
> (185.31.136.244)

[...]

> Hier scheint jemand auf den Server zugreifen zu wollen. Zu denken
> gibt mir das "ANON anonymous: Login successful". Heißen die Einträge
> in der Log-Datei nun, dass der Angriff abgewehrt wurde oder dass er
> funktioniert hat?

Vermutung: anonymes Login geht (immer noch), aber mehr nicht.

> An welcher Stelle müsste ich was verändern, um
> diesen Zugang zu sperren?

Am einfachsten dürfte sein, diese IP-Adresse (oder den Bereich 185.31.136.0/24) 
in "/etc/Schule/vollblock" nachzutragen (sie/er führt zu einem Provider in 
Finnland) und dann "iptables" per

        /etc/init.d/ipfilter restart

neu zu starten.

Eine ganz andere Möglichkeit: Du trägst diese IP-Adresse im "ftp"-Block  
in "/etc/hosts.allow" nach, z.B. nach der Zeile, in der Zugriff im LAN  
erlaubt ist:

        in.ftpd, proftpd: 185.31.136.: DENY

Diese Änderung ist sofort wirksam.

Viele Gruesse!
Helmut


_______________________________________________
schan-user mailing list
schan-user@xxxxxxxxxxxxxxxxx
http://www.heise.de/bin/newsletter/listinfo/schan-user

 

seitenanfang


 

news about wissen files archive hilfe suchen  
kontakt letzte änderung: 18.03.2014