Mailinglist Archive: opensuse-de (4904 mails)
| < Previous | Next > |
Linux FTP Server unter "beschuss" ?!
- From: "Denis Hessberger (WYSIWYG Support)" <wysiwyg-support@xxxxxxxxxxx>
- Date: Wed, 5 May 2004 15:46:37 +0200
- Message-id: <618937592.20040505154637@xxxxxxxxxxx>
Hi,
wir haben bei uns einen Linux FTP server laufen.
Mir fiel vor ca. 1 Woche schon auf das sich irgendjemand,
offensichtlich aus Frankreich (habe mit tracert unter windoof
feststellen können das der log-in "Versuch" von einem Server eines
Französischen Providers kam, allerdings bedeutet das an sich ja
noch nicht so viel), versucht bei uns am FTP-Server einzuloggen.
Er hat "lustige" Benutzernamen wie "leech, download, upload, guest,
visitor" usw. probiert, dann schließlich "root" und
"admin"...
Kein Log-In Versuch erfolgreich.
Glücklicherweise.
Mein "Freund" hat das auch per SSH probiert, allerdings ohne erfolg.
Letzte Nacht kam er wieder, hat ca. 100 login versuche per ftp
gestartet, alle mit root und admin als Benutzernamen.
Jeder der Log-In Versuche lag ca. 2 bis 10 Sekunden auseinander.
Vorhin, während ich als root per SSH von meinem Büro aus (10 Meter vom
Server entfernt...) doppelt eingeloggt war (hatte
zwei Konsolen offen) stand in meiner Konsole folgendes:
Message from syslogd@intranet at Wed May 5 14:59:00 2004 ...
intranet
---
Sollte mir das was sagen?
(schreibt syslogd nachrichten an root in denen der rechnername steht?)
Ich bin ehrlich etwas verängstigt.
Ich habe die Log-In Shell des Servers bei jedem user, der nur FTP
können soll auf "/bin/false" gesetzt.
Es gibt jetzt nur noch "system-user" die sich über /bin/bash anmelden
können.
Ich muss mich leider als root immernoch per SSH anmelden können.
Dies wäre nämlich der erste Zugang den ich dicht machen würde ;)
Meine Fragen nun:
1. Sollte ich mir ernsthafte Gedanken machen?
2. Wie kann ich das System sicherer machen (kann ich die shell _aller_
user bis auf root in /bin/false setzen, ohne das dies zu
beeinträchtigungen am system führt?
3. Hat jemand hier ähnliche Probleme (eventuell auch frankreich?)
Grüße,
Denis Hessberger
wir haben bei uns einen Linux FTP server laufen.
Mir fiel vor ca. 1 Woche schon auf das sich irgendjemand,
offensichtlich aus Frankreich (habe mit tracert unter windoof
feststellen können das der log-in "Versuch" von einem Server eines
Französischen Providers kam, allerdings bedeutet das an sich ja
noch nicht so viel), versucht bei uns am FTP-Server einzuloggen.
Er hat "lustige" Benutzernamen wie "leech, download, upload, guest,
visitor" usw. probiert, dann schließlich "root" und
"admin"...
Kein Log-In Versuch erfolgreich.
Glücklicherweise.
Mein "Freund" hat das auch per SSH probiert, allerdings ohne erfolg.
Letzte Nacht kam er wieder, hat ca. 100 login versuche per ftp
gestartet, alle mit root und admin als Benutzernamen.
Jeder der Log-In Versuche lag ca. 2 bis 10 Sekunden auseinander.
Vorhin, während ich als root per SSH von meinem Büro aus (10 Meter vom
Server entfernt...) doppelt eingeloggt war (hatte
zwei Konsolen offen) stand in meiner Konsole folgendes:
Message from syslogd@intranet at Wed May 5 14:59:00 2004 ...
intranet
---
Sollte mir das was sagen?
(schreibt syslogd nachrichten an root in denen der rechnername steht?)
Ich bin ehrlich etwas verängstigt.
Ich habe die Log-In Shell des Servers bei jedem user, der nur FTP
können soll auf "/bin/false" gesetzt.
Es gibt jetzt nur noch "system-user" die sich über /bin/bash anmelden
können.
Ich muss mich leider als root immernoch per SSH anmelden können.
Dies wäre nämlich der erste Zugang den ich dicht machen würde ;)
Meine Fragen nun:
1. Sollte ich mir ernsthafte Gedanken machen?
2. Wie kann ich das System sicherer machen (kann ich die shell _aller_
user bis auf root in /bin/false setzen, ohne das dies zu
beeinträchtigungen am system führt?
3. Hat jemand hier ähnliche Probleme (eventuell auch frankreich?)
Grüße,
Denis Hessberger
| < Previous | Next > |