Cosa fare contro un attacco FTP continuo

Naviga le tue risposte
0

Ho un server (Windows 2008) e questo server utilizza WebsitePanel per ospitare alcuni siti Web. Ho provato a configurare il server FTP Mozilla, ma non riesco a farlo funzionare. Dato che non lo uso, non mi dispiace.

Tuttavia per caso ho notato quasi immediatamente che un hacker ha tentato di accedere all'FTP.

Posso vederlo perché Mozilla FTP mostra tutti gli accessi falliti e shos un indirizzo IP. Poiché FTP non funziona, tutti gli accessi falliranno. E poiché nessuno dovrebbe usare questo FTP, può essere solo qualcuno con cattive intenzioni. Inoltre, la maggior parte degli attacchi sembra provenire dalla Russia e dal Brasile e i miei siti web sono tutti in olandese.

All'inizio ho inserito i numeri IP che Mozilla mi ha mostrato in IP e limitazioni di dominio e dominio FTP e restrizioni IP (server wide). Ma ho notato che quando veniva usato lo stesso indirizzo IP (cosa che non capita spesso), potevano ancora provare a connettersi all'FTP (la mia idea era, a cosa serve l'uso di questa protezione IIS).

Così ora ho creato nel mio firewall di Windows una restrizione di blocco per tutti i programmi e ho inserito tutti gli indirizzi IP (oltre 200).

Quello che vorrei sapere è come lo fanno. Vedo che provano ad accedere e usano circa 15 tentativi, che entro un secondo cambiano il numero IP e ancora 15 tentativi. Quindi non posso credere che questi tentativi siano da persone diverse.

Usano lo spoofing IP ?? In tal caso, possono scegliere a caso un nuovo numero IP? Perché non servirebbe a bloccare questi numeri IP. O stanno usando relay, computer fantasma o comunque si voglia chiamarlo.

Inoltre ho notato che sanno quali siti Web ho su quel server. Hanno avuto accesso al mio server in qualche modo e quindi conoscono i nomi dei siti web, o stanno usando un'opzione IP inversa per scoprire quali siti web vanno tutti al mio indirizzo IP ??

Inoltre ho notato che a volte per un certo periodo usano gli account di posta elettronica che ho e falsificano la loro e-mail di spam per fingere di inviarli. Di nuovo, hanno avuto accesso al mio computer o come sanno che i siti web semplicemente indovinano alcuni indirizzi e-mail che vanno con questi siti (e-mail @ e info @ dopo tutto non è così difficile da indovinare).

Sul mio server non riesco a rilevare nulla di strano, nessun virus, nessun file strano, nulla è cambiato ??

Pensavo di poter usare l'FTP di Mozilla come una sorta di trappola per il miele e che a un certo punto avrei tutti i numeri IP del computer che usano per farlo. Ma se possono semplicemente scegliere un numero casuale di quello che non avrebbe senso farlo.

    
posta Clemens Linders 24.12.2014 - 23:57
fonte

1 risposta

1

La tua ipotesi è giusta - gli attaccanti possono usare un intervallo di indirizzi IP quasi illimitato se hanno una botnet. Quindi cercare di bloccare gli indirizzi IP manualmente è inutile.

Ci sono strumenti come fail2ban che possono essere impostati per bloccare quelli che soddisfano regole specifiche, ma se tutto ciò che stanno cercando di fare è accedere a un servizio che non offri, cerca di non preoccuparti troppo.

Per quanto riguarda la tua domanda di posta elettronica - in genere lo spoofing dell'indirizzo email di ritorno-invio non implica che abbiano compromesso nulla. Chiunque taxi ha impostato il proprio indirizzo di ritorno come qualsiasi cosa vogliano.

    
risposta data 25.12.2014 - 00:06
fonte

Leggi altre domande sui tag

Drive per download senza interazione con l'utente? [duplicare] csh shellshock http su un server Windows 2008