vsftpd und die Script-Kiddies
Nahezu jedes Wochenende wieder das gleiche Spiel: mein Log füllt sich mit FTP-Verbindungsversuchen von nicht existierenden Usern. Heute war ein wirklich hartnäckiger Kunde dabei, der lange Stunden versuchte, einen Login zu finden und mir dabei megabyteweise Logeinträge bescherte. Ich habe ihn mit zunächst mal mit einer iptables Regel abgewürgt. Dann habe ich gesucht nach Möglichkeiten, wie ein offensichtlicher Missbrauch mit dem Abbruch der Session beantwortet werden kann. Bei den Optionen von vsftpd bin ich nicht direkt fündig geworden. Bleiben also die Optionen unter /etc/pam.d/vsftpd und iptables-Regeln. Was verwendet ihr mit welchem Erfolg? Hier mal ein Auszug: Oct 14 04:18:47 katgar vsftpd: Sat Oct 14 04:18:47 2006 [pid 24173] FTP command: Client "61.129.102.252", "USER elise" Oct 14 04:18:47 katgar vsftpd: Sat Oct 14 04:18:47 2006 [pid 24173] [elise] FTP response: Client "61.129.102.252", "530 Permission denied." Oct 14 04:18:47 katgar vsftpd: Sat Oct 14 04:18:47 2006 [pid 24173] FTP command: Client "61.129.102.252", "USER elise" Oct 14 04:18:47 katgar vsftpd: Sat Oct 14 04:18:47 2006 [pid 24173] [elise] FTP response: Client "61.129.102.252", "530 Permission denied." Ich weiss wirklich nicht, ob ich mich mehr über das schiere Logvolumen oder die Unfähigkeit dieser Script-Kiddies ärgern soll. Aus Neugierde habe ich die Login-Versuche, die gestern von dieser IP kammen, extrahiert und eine kleine Statistik gebaut: cat /tmp/vsftpd1.log | wc -l 151972 cat /tmp/vsftpd1.log | awk '/ / { print $16 " " $17 " " $18 }'|uniq -c 3106 "61.129.102.252", "USER Administrator" 3106 "61.129.102.252", "USER olga" 3106 "61.129.102.252", "USER hermina" 3106 "61.129.102.252", "USER mikejr" 3106 "61.129.102.252", "USER luisjr" 3106 "61.129.102.252", "USER fred" 3106 "61.129.102.252", "USER barney" 3106 "61.129.102.252", "USER allan" 3106 "61.129.102.252", "USER alan" 3106 "61.129.102.252", "USER anna" 3106 "61.129.102.252", "USER mary" 3106 "61.129.102.252", "USER carl" 3106 "61.129.102.252", "USER karl" 3106 "61.129.102.252", "USER karla" 3106 "61.129.102.252", "USER luis" 3106 "61.129.102.252", "USER pavel" 3106 "61.129.102.252", "USER pauljr" 3106 "61.129.102.252", "USER admin" 3106 "61.129.102.252", "USER wiskey" 3106 "61.129.102.252", "USER greg" 3106 "61.129.102.252", "USER gregory" 3106 "61.129.102.252", "USER vivian" 3106 "61.129.102.252", "USER Administrator123" 3106 "61.129.102.252", "USER welcome" 3106 "61.129.102.252", "USER ip" 3106 "61.129.102.252", "USER maria" 3106 "61.129.102.252", "USER caitlin" 3106 "61.129.102.252", "USER bud" 3106 "61.129.102.252", "USER bundy" 3106 "61.129.102.252", "USER felix" 3106 "61.129.102.252", "USER david" 3106 "61.129.102.252", "USER markus" 3106 "61.129.102.252", "USER antonio" 3105 "61.129.102.252", "USER elise" 3106 "61.129.102.252", "USER carmen" 3106 "61.129.102.252", "USER elev" 3106 "61.129.102.252", "USER student" 3106 "61.129.102.252", "USER tsinternetuser" 3106 "61.129.102.252", "USER tsinternetusers" 3106 "61.129.102.252", "USER steve" 3106 "61.129.102.252", "USER dave" 3106 "61.129.102.252", "USER paul" 3106 "61.129.102.252", "USER charles" 3106 "61.129.102.252", "USER calvin" 3106 "61.129.102.252", "USER computer" 3106 "61.129.102.252", "USER newuser" 3106 "61.129.102.252", "USER jennifer" 3106 "61.129.102.252", "USER andrew" 2885 "61.129.102.252", "USER Amanda" Die erste Spalte ist die Anzahl der Versuche pro Username, dann der Client und zuletzt der Username. Bei den Versuchen mit "Amanda" hatte ich ihn schließlich abgewürgt. Ich fasse es nicht! Der Hammel versucht es 3106 mal, bevor er zu einem anderen Usernamen übergeht! Auf diese Art braucht er Stunden, um 49 Usernamen zu testen. Kann man diese Spiele mit vsftpd/pam unterbinden oder sollte ich den ftp Server wechseln? Sandy -- Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com
Hallo Sandy, Am Samstag, 14. Oktober 2006 14:00 schrieb Sandy Drobic:
Nahezu jedes Wochenende wieder das gleiche Spiel: mein Log füllt sich mit FTP-Verbindungsversuchen von nicht existierenden Usern. Heute war ein wirklich hartnäckiger Kunde dabei, der lange Stunden versuchte, einen Login zu finden und mir dabei megabyteweise Logeinträge bescherte. Ja, verdammt lästig sowas, einige meiner Bekannten haben da auch dran zu knabbern.Manche versuchen das über Scripte zu regeln, die nach einer bestimmten Anzahl ungültiger "Einlogversuche" (meistens drei) die IP sperren. Ich selber biete über meinen Rechner keine externen Dienste an, bzw falls doch ein Zugriff von außen sein soll/muß, begrenze ich den auf den Zeitraum und sperre danach wieder den entsprechenden Port, aber das hilft Dir ja nicht weiter....
Kann man diese Spiele mit vsftpd/pam unterbinden oder sollte ich den ftp Server wechseln? Vielleicht ist ja dieser Ansatz etwas für Dich und kannst das vielleicht für Deine Zwecke "zurecht biegen".Wenn das mit/für ssh geht, warum nicht auch bei FTP?
Sandy
Gruß Thomas
-- Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com
-- Mögen täten wir schon wollen, doch dürfen haben wir uns nicht getraut. Karl Valentin
Hallo Sandy, Nachtrag: Sorry, hatte bei der vorherigen Mail vergessen den Link mit einzufügen, den ich hier jetzt nachliefern möchte. http://www.symlink.ch/articles/06/02/19/1957209.shtml Manchmal sind die Finger schneller wie der Kopf... ;-)) Gruß Thomas -- Mögen täten wir schon wollen, doch dürfen haben wir uns nicht getraut. Karl Valentin
Thomas Becker wrote:
Hallo Sandy, Nachtrag: Sorry, hatte bei der vorherigen Mail vergessen den Link mit einzufügen, den ich hier jetzt nachliefern möchte. http://www.symlink.ch/articles/06/02/19/1957209.shtml
Manchmal sind die Finger schneller wie der Kopf... ;-))
Vor meiner dritten Tasse Kaffee ist das mein Normalzustand. (^-^) Ich habe es mir angeschaut, aber es scheint nicht ganz das zu sein, was ich brauche. SSH begrenzt ja schon die Zahl der vergeblichen Login-Versuche, DenyHosts verwehrt dann zusätzlich noch den erneuten Login. Meine Scriptkiddies bleiben einfach innerhalb einer Session und versuchen endlos (na ja 3106 mal ) das gleiche Passwort immer wieder. Wenn die Session abgebrochen wird, sind sie auf und davon zu grüneren Weiden. Ich habe deshalb jetzt "session_support=YES" gesetzt und arbeite mich durch die xinetd/PAM Optionen, um die Login-Versuche zu begrenzen und die Session abzubrechen bei zu vielen Fehlversuchen. Gerade habe ich folgende Seite für die Verwendung von BlockHosts für ssh, vsftpd gefunden: http://www.debian-administration.org/articles/342 Ich werde das mir genauer anschauen und berichten, wenn das die Lösung ist. Sandy -- Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com
Hi Sandy, fail2ban (http://sourceforge.net/projects/fail2ban) ist eigentlich dafür gedacht, den sshd vor brute force zu schützen. Es lässt sich aber ohne Probleme auf andere Logfiles (Standard ist auth.log) anwenden. Unter http://www.the-art-of-web.com/system/fail2ban/ und http://www.the-art-of-web.com/system/fail2ban-sendmail/ findest Du Anleitungen zur Installation/Konfiguration bzw, zur Anpassung auf andere Logfiles und Suchmuster für unerwünschte Loginversuche, Grüße, Felix
participants (3)
-
Felix Nawroth
-
Sandy Drobic
-
Thomas Becker