FTP-Hacker

Matthieu · 06. Dez 2008

Den FTP-Zugang meiner DS würde ich manchmal wirklich gerne abschalten. Nur leider bin ich zum Dateizugriff darauf angewiesen. Nur wird mir immer schwindlich wenn ich in mein FTP-Protokoll aufrufe. Dort sind mehr Warnungen als normale Anmeldungen zu sehen.
Mich würden mal zwei Dinge interessieren:
1. Weiß einer wie man diesen unnötigen Traffic ein wenig verringern kann?
2. Wie kommen die so einfach an fremde IP's ran??? (Wenn man die Ursache weiß, ist es einfacher dem ganzen entgegenzuwirken.)

und zu guter letzt würden mich natürlich auch eure Erfahrungen interessieren.

Manchmal bringt mich mein Log aber auch zum schmunzeln, wenn dort findige Hacker ständig neue Accounts ausprobieren. "www-data" ist doch schon ziemlich kreativ.

Anzeige · 06. Dez 2008

Hallo Matthieu,

Bücher und Hardware zum Thema gibt es bei Amazon: FTP-Hacker

Trolli · 06. Dez 2008

Das sind meist automatische Bots. Die versuchen sich bei schlecht gesicherten Systemen Zutritt zu verschaffen.

Du solltest die automatische IP-Blockierung einschalten, dann wird die entsprechende IP bei der dritten fehlerhaften Anmeldung in die Blockliste aufgenommen. Damit kannst Du das recht wirkungsvoll bekämpfen.

Trolli

PAPPL · 06. Dez 2008

Synology-Wiki: Grundsätzliches zur Netzwerksicherheit

Da wurde vor kurzem auch erklärt wie man die Sicherheit verbessern kann.
Lg PAPPL

Matthieu · 06. Dez 2008

Danke für den Link! Einige Punkte sind interessant ... mal sehen.

@Trolli: Das war das erste was ich gemacht hab. Meine IP-Liste erfasst ungefähr 4-5 neue IP's pro Tag. Allerdings sind IP-Blocks in Zeiten von DSL und dynamischen IP's nicht mehr so effektiv ...

Habt ihr nicht solche Probleme?

Trolli · 08. Dez 2008

Ich sehe da kein Problem drin. Wenn man nach drei Login-Versuchen immer wieder eine neue IP braucht, halte ich einen Brute-Force Angriff zum knacken des Passworts für ausgeschlossen.

Trolli

dg2iaq · 08. Dez 2008

@Matthieu

Probiere doch mal einen anderen Port für die FTP-Übertragung ! Und zwar einen sehr hohen, der nach meinen Recherchen von automatischen Scans normalerweise nicht erfasst wird. Also Ports >50.000 . Ebenso sollen lt. diversen Berichten die Internet-Suchmaschinen dort oben auch nicht suchen, also taucht Deine Domain nirgends auf.

Das funktioniert bei mir wirkungsvoll, ebenso umgeht man damit auch mögliche FTP-Firewall-Blockaden in Firmennetzwerken (Port 21) und hat somit dennoch Zugriff auf die DS.

Einziger Unterschied:

Die DS muss künftig mit der (abweichenden) Portnummer im Link angesprochen werden, aber das sollte ja keine Hürde sein.

Die DS belasse ich hierbei auf Port 21, mache aber in der Firewall-Freigabe meiner FritzBox die Portweiterleitung. Dann musst Du an der DS noch nicht mal etwas umkonfigurieren.

Also z.B. Port 50000 (TCP) auf 192.168.0.100 - Port 21

Künftig sprichst Du Deine DS per FTP wie folgt an:

ftp://MeinName:50000

Geht bei mir super und auch die DS-Blockierliste ist bis heute leer geblieben. Selbst wenn mal jemand Dein Domain-Name herausfinden sollte, ist das auch noch kein Sicherheitsrisiko, denn ohne die Kenntnis des genauen FTP-Ports kommt er ja keinen Schritt weiter. Und danach steht immer noch die User-/Passwortabfrage.

Mit dem hohen Port ist meine DS bisher aus jeder Umgebung ansprechbar gewesen.

Gruss,
Jochen

haol0013 · 08. Dez 2008

Hallo,

ich habe keine ganz so hohe Portnummer gewählt, aber eben auch nicht den 21er.
Bisher hatte ich noch keinen fehlerhaften Zugriff im Protokoll. Keine Hackversuche, nix.
Probier das mal mit dem abweichenden Port. Bringt meiner Meinung nach am meisten.

Grüße

Oli

jahlives · 08. Dez 2008

dg2iaq schrieb:
Das funktioniert bei mir wirkungsvoll, ebenso umgeht man damit auch mögliche FTP-Firewall-Blockaden in Firmennetzwerken (Port 21) und hat somit dennoch Zugriff auf die DS.

Da muss ich jetzt aber teilweise widersprechen

Firmen setzen seht oft Zugangsproxies ein. Bei diesen wird dann oft eine Whitelist gefahren: Nur erlaubte Ports sind freigeben (z.B. 80, 21, 443), der Rest wird gnadenlos blockiert. Da würde auch deine FTP-Lösung nicht durchkommen. Es gibt auch Proxies, die das verwendete Protokoll verstehen und dann bei einem Port der nicht dem Protokoll entspricht sich einfach querlegen und blockieren. Haben so einen in der Firma: Der lässt mich via Port 443 (https) auf den DS-Manager bei mir zu Hause zugreifen. Die 3rd Party Applications, die aber einen Request auf Port 5001 (https des root Apache der DS) auslösen werden knallhart blockiert mit dem Vermerk: Port 5001 gehört nicht zu https.

Gruss

tobi

itari · 08. Dez 2008

Ganz am Rande ein Bemerkung. Was Google für http ist gopher für ftp. Also ein Crawler, der sich ftp-Sites vornimmt und der klopft natürlich auch alle IP-Nummern auf der Port-Nr. 21 an.

Man muss nicht immer gleich an Hacker (die lieben Jungs) oder Cracker (die bösen Jungs oder alternativ: die Salzplätzchen) denken. Für die, die den Unnerschied net kenne: guck.

itari

B767 · 08. Dez 2008

ich hatte bei normaler FTP Einstellung ca. 3-5 geblockte IP Adressen die Woche, seitdem ich über SSL gehe, ist die Blocklist ohne neue Einträge.

Zwar kommen die User nicht mehr über den Browser, sondern nur noch über z. B. Filezilla an Ihre Ordner, aber das ist ja kein Problem. Alle Zugriffe erfordern das jeweilige PW (Ziffern, Groß-und Kleinbuchstaben im Wechsel).

An den Ports in der FB und in der DS ist alles normal geblieben, trotzdem wie gesagt keine neuen IP Adressen in der Blocklist.

Grüße
B767

Suche

FTP-Hacker

Matthieu

Benutzer

Anzeige

Trolli

Benutzer

PAPPL

Benutzer

Matthieu

Benutzer

Trolli

Benutzer

dg2iaq

Benutzer

haol0013

Benutzer

jahlives

Benutzer

itari

Benutzer

B767

Benutzer

Kaffeautomat