Nahezu jedes Wochenende wieder das gleiche Spiel: mein Log füllt sich mit FTP-Verbindungsversuchen von nicht existierenden Usern. Heute war ein wirklich hartnäckiger Kunde dabei, der lange Stunden versuchte, einen Login zu finden und mir dabei megabyteweise Logeinträge bescherte. Ich habe ihn mit zunächst mal mit einer iptables Regel abgewürgt. Dann habe ich gesucht nach Möglichkeiten, wie ein offensichtlicher Missbrauch mit dem Abbruch der Session beantwortet werden kann. Bei den Optionen von vsftpd bin ich nicht direkt fündig geworden. Bleiben also die Optionen unter /etc/pam.d/vsftpd und iptables-Regeln. Was verwendet ihr mit welchem Erfolg? Hier mal ein Auszug: Oct 14 04:18:47 katgar vsftpd: Sat Oct 14 04:18:47 2006 [pid 24173] FTP command: Client "61.129.102.252", "USER elise" Oct 14 04:18:47 katgar vsftpd: Sat Oct 14 04:18:47 2006 [pid 24173] [elise] FTP response: Client "61.129.102.252", "530 Permission denied." Oct 14 04:18:47 katgar vsftpd: Sat Oct 14 04:18:47 2006 [pid 24173] FTP command: Client "61.129.102.252", "USER elise" Oct 14 04:18:47 katgar vsftpd: Sat Oct 14 04:18:47 2006 [pid 24173] [elise] FTP response: Client "61.129.102.252", "530 Permission denied." Ich weiss wirklich nicht, ob ich mich mehr über das schiere Logvolumen oder die Unfähigkeit dieser Script-Kiddies ärgern soll. Aus Neugierde habe ich die Login-Versuche, die gestern von dieser IP kammen, extrahiert und eine kleine Statistik gebaut: cat /tmp/vsftpd1.log | wc -l 151972 cat /tmp/vsftpd1.log | awk '/ / { print $16 " " $17 " " $18 }'|uniq -c 3106 "61.129.102.252", "USER Administrator" 3106 "61.129.102.252", "USER olga" 3106 "61.129.102.252", "USER hermina" 3106 "61.129.102.252", "USER mikejr" 3106 "61.129.102.252", "USER luisjr" 3106 "61.129.102.252", "USER fred" 3106 "61.129.102.252", "USER barney" 3106 "61.129.102.252", "USER allan" 3106 "61.129.102.252", "USER alan" 3106 "61.129.102.252", "USER anna" 3106 "61.129.102.252", "USER mary" 3106 "61.129.102.252", "USER carl" 3106 "61.129.102.252", "USER karl" 3106 "61.129.102.252", "USER karla" 3106 "61.129.102.252", "USER luis" 3106 "61.129.102.252", "USER pavel" 3106 "61.129.102.252", "USER pauljr" 3106 "61.129.102.252", "USER admin" 3106 "61.129.102.252", "USER wiskey" 3106 "61.129.102.252", "USER greg" 3106 "61.129.102.252", "USER gregory" 3106 "61.129.102.252", "USER vivian" 3106 "61.129.102.252", "USER Administrator123" 3106 "61.129.102.252", "USER welcome" 3106 "61.129.102.252", "USER ip" 3106 "61.129.102.252", "USER maria" 3106 "61.129.102.252", "USER caitlin" 3106 "61.129.102.252", "USER bud" 3106 "61.129.102.252", "USER bundy" 3106 "61.129.102.252", "USER felix" 3106 "61.129.102.252", "USER david" 3106 "61.129.102.252", "USER markus" 3106 "61.129.102.252", "USER antonio" 3105 "61.129.102.252", "USER elise" 3106 "61.129.102.252", "USER carmen" 3106 "61.129.102.252", "USER elev" 3106 "61.129.102.252", "USER student" 3106 "61.129.102.252", "USER tsinternetuser" 3106 "61.129.102.252", "USER tsinternetusers" 3106 "61.129.102.252", "USER steve" 3106 "61.129.102.252", "USER dave" 3106 "61.129.102.252", "USER paul" 3106 "61.129.102.252", "USER charles" 3106 "61.129.102.252", "USER calvin" 3106 "61.129.102.252", "USER computer" 3106 "61.129.102.252", "USER newuser" 3106 "61.129.102.252", "USER jennifer" 3106 "61.129.102.252", "USER andrew" 2885 "61.129.102.252", "USER Amanda" Die erste Spalte ist die Anzahl der Versuche pro Username, dann der Client und zuletzt der Username. Bei den Versuchen mit "Amanda" hatte ich ihn schließlich abgewürgt. Ich fasse es nicht! Der Hammel versucht es 3106 mal, bevor er zu einem anderen Usernamen übergeht! Auf diese Art braucht er Stunden, um 49 Usernamen zu testen. Kann man diese Spiele mit vsftpd/pam unterbinden oder sollte ich den ftp Server wechseln? Sandy -- Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com