Denis Hessberger (WYSIWYG Support) wrote:
Hi,
wir haben bei uns einen Linux FTP server laufen. Mir fiel vor ca. 1 Woche schon auf das sich irgendjemand, offensichtlich aus Frankreich (habe mit tracert unter windoof feststellen können das der log-in "Versuch" von einem Server eines Französischen Providers kam, allerdings bedeutet das an sich ja noch nicht so viel), versucht bei uns am FTP-Server einzuloggen. Er hat "lustige" Benutzernamen wie "leech, download, upload, guest, visitor" usw. probiert, dann schließlich "root" und "admin"...
Kein Log-In Versuch erfolgreich. Glücklicherweise.
hmm ... noch würde ich sagen ... ;-)
Mein "Freund" hat das auch per SSH probiert, allerdings ohne erfolg.
Letzte Nacht kam er wieder, hat ca. 100 login versuche per ftp gestartet, alle mit root und admin als Benutzernamen. Jeder der Log-In Versuche lag ca. 2 bis 10 Sekunden auseinander.
wenn du solche sachen unterbinden willst solltest du dir mal Portsentry und Logsentry ansehen ... Portsentry kann man so einstellen das er nach einer bestimmten Anzahl von Verbindungsversuchen den Rechner automatisch via hosts.deny oder Firewall blocken kann ... Logsentry kann dir das dann zumailen wenn in den Logs was verdachtiges steht ...
Vorhin, während ich als root per SSH von meinem Büro aus (10 Meter vom Server entfernt...) doppelt eingeloggt war (hatte zwei Konsolen offen) stand in meiner Konsole folgendes:
Message from syslogd@intranet at Wed May 5 14:59:00 2004 ... intranet
dazu kann ich dir leider nichts sagen ... wüsste nicht woher die meldung im normal laufenden betrieb kommen sollte ... Allerdings weis ich auch nicht was noch bei dir im Hintergrund läuft ...
--- Sollte mir das was sagen?
wie gesagt : keine Ahnung ...
(schreibt syslogd nachrichten an root in denen der rechnername steht?) Ich bin ehrlich etwas verängstigt.
Wäre ich auch ... vieleicht solltest du neben den Sentrytools mal noch ein Tripwire installieren ... dann kannst du wenigstens sehen wenn eine Datei geändert wurde ...
Ich habe die Log-In Shell des Servers bei jedem user, der nur FTP können soll auf "/bin/false" gesetzt. Es gibt jetzt nur noch "system-user" die sich über /bin/bash anmelden können. Ich muss mich leider als root immernoch per SSH anmelden können. Dies wäre nämlich der erste Zugang den ich dicht machen würde ;)
Meine Fragen nun: 1. Sollte ich mir ernsthafte Gedanken machen? 2. Wie kann ich das System sicherer machen (kann ich die shell _aller_ user bis auf root in /bin/false setzen, ohne das dies zu beeinträchtigungen am system führt? 3. Hat jemand hier ähnliche Probleme (eventuell auch frankreich?)
Um sicherheit kann man sich nie genug gedanken machen ... aber mit den o. g. tools siehst du wenigstens wenn was sein sollte .. Gruß Frank Noel
Grüße,
Denis Hessberger