bolug bonner linux user group
news about wissen files archive hilfe suchen  

 

archive :: SchAN-User

druckfassung

SchAN-User

Re: [Schan-user] Angriffsversuch über proftpd

To: "'Schulen ans Netz - Anwender'" <schan-user@xxxxxxxxxxxxxxxxx>
Subject: Re: [Schan-user] Angriffsversuch über proftpd
From: "g.schwinning" <g.schwinning@xxxxxxxxxxxx>
Date: Tue, 18 Mar 2014 07:38:33 +0100
> -----Ursprüngliche Nachricht-----
> Von: schan-user-bounces@xxxxxxxxxxxxxxxxx [mailto:schan-user-
> bounces@xxxxxxxxxxxxxxxxx] Im Auftrag von Helmut Hullen
> Gesendet: Dienstag, 18. März 2014 05:51
> An: schan-user@xxxxxxxxxxxxxxxxx
> Betreff: Re: [Schan-user] Angriffsversuch über proftpd
> 
> Hallo, Gerhard,
> 
> Du meintest am 17.03.14:
> 
> > (this.is.a.tor.exit.node.zzif.net[185.31.136.244]) - FTP session
> > opened. Mar 17 20:26:20 Arktur proftpd[5168]: Arktur_
> > (this.is.a.tor.exit.node.zzif.net[185.31.136.244]) - ANON anonymous:
> > Login successful.
> > Mar 17 20:26:20 Arktur proftpd[5168]: Arktur_
> > (this.is.a.tor.exit.node.zzif.net[185.31.136.244]) - Preparing to
> > chroot to directory '/home/ftp'
> > Mar 17 20:27:36 Arktur proftpd[5189]: connect from 185.31.136.244
> > (185.31.136.244)
> 
> [...]
> 
> > Hier scheint jemand auf den Server zugreifen zu wollen. Zu denken
> > gibt mir das "ANON anonymous: Login successful". Heißen die Einträge
> > in der Log-Datei nun, dass der Angriff abgewehrt wurde oder dass er
> > funktioniert hat?
> 
> Vermutung: anonymes Login geht (immer noch), aber mehr nicht.
> 
> > An welcher Stelle müsste ich was verändern, um
> > diesen Zugang zu sperren?
> 
> Am einfachsten dürfte sein, diese IP-Adresse (oder den Bereich
> 185.31.136.0/24) in "/etc/Schule/vollblock" nachzutragen (sie/er führt zu
> einem Provider in Finnland) und dann "iptables" per
> 
>         /etc/init.d/ipfilter restart
> 
> neu zu starten.
> 
> Eine ganz andere Möglichkeit: Du trägst diese IP-Adresse im "ftp"-Block
> in "/etc/hosts.allow" nach, z.B. nach der Zeile, in der Zugriff im LAN
> erlaubt ist:
> 
>         in.ftpd, proftpd: 185.31.136.: DENY
> 
> Diese Änderung ist sofort wirksam.
> 
> Viele Gruesse!
> Helmut
> 
> 
> _______________________________________________
> schan-user mailing list
> schan-user@xxxxxxxxxxxxxxxxx
> http://www.heise.de/bin/newsletter/listinfo/schan-user


Hallo Helmut

Danke für die Info!

Die Lösung könnte sich aber als Hase- und Igelspiel erweisen.
Der Angriff scheint ja über das TOR-Netzwerk zu kommen und lässt sich damit
nicht auf eine bestimmte Region eingrenzen. Wie kann ich denn den anonymen
Zugang für proftpd  ausschalten?

Gruß

Gerald 



_______________________________________________
schan-user mailing list
schan-user@xxxxxxxxxxxxxxxxx
http://www.heise.de/bin/newsletter/listinfo/schan-user

 

seitenanfang


 

news about wissen files archive hilfe suchen  
kontakt letzte änderung: 18.03.2014