Attacco Bruteforce sul mio server FTP

15

Recentemente ho installato VSFTPD sul mio server personale per condividere file su FTP. Nel file vsftpd.log, vedo centinaia di tentativi falliti di accedere con nomi utente come "adminitrator", "adminitrator1", "adminitrator2", "adminitrator123" ecc.

Sono sorpreso perché ho appena installato il mio server FTP e ho pensato che nessuno avrebbe saputo della sua esistenza. Non l'ho comunicato a nessuno che esiste il mio server FTP.

Suppongo che con gli strumenti di scansione delle porte, uno avrebbe trovato che la porta FTP è aperta. Comunque mi chiedo come si sarebbe ottenuto il mio IP.

  • Ho scaricato un file torrent, potrebbe esporre il mio indirizzo IP?

  • È abbastanza comune che l'attaccante raccolga l'indirizzo IP dai tracker torrent o da qualche altro servizio? Qualche idea su come l'attaccante ottiene l'indirizzo IP? (come per lo spamming - gli spambots sono usati per raccogliere l'e-mail ID)

  • Qualsiasi suggerimento generale per un nuovo arrivato per proteggere il server (libri, video, totorials, blog, ecc.)

posta 18bytes 08.08.2011 - 09:32
fonte

3 risposte

31

Non hai bisogno di sapere come hanno ottenuto il tuo IP - l'intera Internet viene costantemente scansionata da individui malevoli, bot, ecc. Se hai un server FTP su Internet, una di queste scansioni lo troverà e una Cominciano tutti i tentativi di attacco.

Il tuo lato negativo è - non puoi proteggere un server FTP. FTP non è stato progettato per fornire crittografia o autenticazione avanzata, quindi è stato deprecato.

La raccomandazione è di sostituirla con una delle alternative sicure come SFTP, o fornire solo l'accesso ad essa tramite SSH. La cosa buona è che SFTP è praticamente un rimpiazzo per la maggior parte dei sistemi operativi.

Aggiornamento : in realtà, stai usando vsftpd, quindi puoi configurare ftps per aggiungere autenticazione e crittografia. Controlla link

    
risposta data 08.08.2011 - 11:09
fonte
17

Un'altra cosa che puoi fare è aggiungere una regola 'bruteforce' di iptables. Ciò consentirà agli ip di effettuare NUOVE connessioni x volte entro y secondi. Dopo aver raggiunto questi limiti, i pacchetti verranno eliminati. Questo impedisce alle forze brute di attaccare continuamente il tuo server. Ho una tale protezione su porte scansionate comuni come FTP, SSH, IMAP, POP3, SMTP, ecc ....

Esempio di regole che uso:

iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --set --name BRUTEFORCE
iptables -A INPUT -i eth0 -p tcp --dport 21 -m state --state NEW -m recent --set --name BRUTEFORCE
iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 8 --rttl --name BRUTEFORCE -j DROP
    
risposta data 08.08.2011 - 11:50
fonte
15

Ci sono molti programmi che navigano su internet alla ricerca di host vulnerabili. Certamente ci sono persone che bersagliano i loro attacchi - ma partire da registri torrent non produrrà obiettivi molto interessanti.

Dai un'occhiata al sito sans.org per gli elenchi di controllo di base sulla protezione del server.

    
risposta data 08.08.2011 - 10:21
fonte

Leggi altre domande sui tag