Sicherheit und Antihammering

rapid · 23 November 2006

Hallo,

wir haben den Server seit gestern laufen und wollten damit eigentlich "Hammering" anfangen, sprich unzählige Anmeldeversuche mit verschiedenen Usernamen. Leider scheinen die Einstellungen nicht so zu greifen wie ich mir das vorgestellt habe, im gegenteil es kommt nach 3 FALSCHEN Anmeldungen eine "Willkommensnachricht" ??!!

Hat jemand Erfahrung wie man solche "Angriffe" von Scriptkiddies erfolgreich abwehrt und wie das in Gene6FTP zu konfiguirieren ist ??

Danke und Gruß

Alf Benn
Rapid Data

KOENICH · 23 November 2006

Herzlich Willkommen

FÜhl dich wohl!

rapid schrieb:
im gegenteil es kommt nach 3 FALSCHEN Anmeldungen eine "Willkommensnachricht" ??!!

Das klingt danach, als hättest du in den "Domain settings" unter "Authentication" eingestellt, dass ein fehlerhafter Login umgeleitet werden soll ("Redirect wrong login"). Siehe auch Screenshot (deutsche Version):

Haken raus und schon sollte das funktionieren. Übrigens halte ich den G6 FTP Server für relativ sicher.

rapid · 23 November 2006

Hallo,

nein die Einstellungen hben wir nicht so drin !!??
Noch eine Idee ??
Danke und Gruß
Alf Benn

Logdatei Auszug
-------------------------------------
06/11/23 02:23:59, 62, 201.147.235.248, , new connection from 201.147.235.248 on 192.168.1.252:21
06/11/23 02:23:59, 62, 201.147.235.248, , hostname resolved : customer-201-147-235-248.uninet-ide.com.mx
06/11/23 02:23:59, 62, 201.147.235.248, , sending welcome message.
06/11/23 02:23:59, 62, 201.147.235.248, , 220 Gene6 FTP Server v3.8.0 (Build 34) ready...
06/11/23 02:23:59, 62, 201.147.235.248, , USER Administrator
06/11/23 02:23:59, 62, 201.147.235.248, Administrator, 331 Password required for Administrator.
06/11/23 02:24:00, 62, 201.147.235.248, Administrator, PASS ****
06/11/23 02:24:00, 62, 201.147.235.248, Administrator, login failed.
06/11/23 02:24:03, 62, 201.147.235.248, Administrator, 530 Login or Password incorrect.
06/11/23 02:24:03, 62, 201.147.235.248, Administrator, USER Administrator
06/11/23 02:24:03, 62, 201.147.235.248, Administrator, 331 Password required for Administrator.
06/11/23 02:24:03, 62, 201.147.235.248, Administrator, PASS ****
06/11/23 02:24:03, 62, 201.147.235.248, Administrator, login failed.
06/11/23 02:24:06, 62, 201.147.235.248, Administrator, 530 Login or Password incorrect.
06/11/23 02:24:06, 62, 201.147.235.248, Administrator, USER Administrator
06/11/23 02:24:06, 62, 201.147.235.248, Administrator, 331 Password required for Administrator.
06/11/23 02:24:07, 62, 201.147.235.248, Administrator, PASS ****
06/11/23 02:24:07, 62, 201.147.235.248, Administrator, login failed.
06/11/23 02:24:10, 62, 201.147.235.248, Administrator, 530 Service not available, closing control connection.
06/11/23 02:24:10, 62, 201.147.235.248, Administrator, disconnected. (00d00:00:10)
06/11/23 02:24:10, 63, 201.147.235.248, , new connection from 201.147.235.248 on 192.168.1.252:21
06/11/23 02:24:10, 63, 201.147.235.248, , hostname resolved : customer-201-147-235-248.uninet-ide.com.mx
06/11/23 02:24:10, 63, 201.147.235.248, , sending welcome message.
06/11/23 02:24:10, 63, 201.147.235.248, , 220 Gene6 FTP Server v3.8.0 (Build 34) ready...
06/11/23 02:24:10, 63, 201.147.235.248, , USER Administrator
06/11/23 02:24:10, 63, 201.147.235.248, Administrator, 331 Password required for Administrator.
06/11/23 02:24:10, 63, 201.147.235.248, Administrator, PASS ****
06/11/23 02:24:10, 63, 201.147.235.248, Administrator, login failed.
06/11/23 02:24:13, 63, 201.147.235.248, Administrator, 530 Login or Password incorrect.
06/11/23 02:24:14, 63, 201.147.235.248, Administrator, USER Administrator
06/11/23 02:24:14, 63, 201.147.235.248, Administrator, 331 Password required for Administrator.
06/11/23 02:24:14, 63, 201.147.235.248, Administrator, PASS ****
06/11/23 02:24:14, 63, 201.147.235.248, Administrator, login failed.
06/11/23 02:24:17, 63, 201.147.235.248, Administrator, 530 Login or Password incorrect.
06/11/23 02:24:19, 63, 201.147.235.248, Administrator, USER Administrator
06/11/23 02:24:19, 63, 201.147.235.248, Administrator, 331 Password required for Administrator.
06/11/23 02:24:19, 63, 201.147.235.248, Administrator, PASS ****
06/11/23 02:24:19, 63, 201.147.235.248, Administrator, login failed.
06/11/23 02:24:22, 63, 201.147.235.248, Administrator, 530 Service not available, closing control connection.
06/11/23 02:24:22, 63, 201.147.235.248, Administrator, disconnected. (00d00:00:12)
06/11/23 02:24:23, 64, 201.147.235.248, , new connection from 201.147.235.248 on 192.168.1.252:21
06/11/23 02:24:23, 64, 201.147.235.248, , hostname resolved : customer-201-147-235-248.uninet-ide.com.mx
06/11/23 02:24:23, 64, 201.147.235.248, , sending welcome message.
06/11/23 02:24:23, 64, 201.147.235.248, , 220 Gene6 FTP Server v3.8.0 (Build 34) ready...
06/11/23 02:24:23, 64, 201.147.235.248, , USER Administrator
06/11/23 02:24:23, 64, 201.147.235.248, Administrator, 331 Password required for Administrator.
06/11/23 02:24:23, 64, 201.147.235.248, Administrator, PASS ****
06/11/23 02:24:23, 64, 201.147.235.248, Administrator, login failed.
06/11/23 02:24:26, 64, 201.147.235.248, Administrator, 530 Login or Password incorrect.
06/11/23 02:24:26, 64, 201.147.235.248, Administrator, USER Administrator
06/11/23 02:24:26, 64, 201.147.235.248, Administrator, 331 Password required for Administrator.
06/11/23 02:24:27, 64, 201.147.235.248, Administrator, PASS ****
06/11/23 02:24:27, 64, 201.147.235.248, Administrator, login failed.
06/11/23 02:24:30, 64, 201.147.235.248, Administrator, 530 Login or Password incorrect.
06/11/23 02:24:30, 64, 201.147.235.248, Administrator, USER Administrator
06/11/23 02:24:30, 64, 201.147.235.248, Administrator, 331 Password required for Administrator.
06/11/23 02:24:30, 64, 201.147.235.248, Administrator, PASS ****
06/11/23 02:24:30, 64, 201.147.235.248, Administrator, login failed.
06/11/23 02:24:33, 64, 201.147.235.248, Administrator, 530 Service not available, closing control connection.
06/11/23 02:24:33, 64, 201.147.235.248, Administrator, disconnected. (00d00:00:11)
----------------------------------------------------------

Supernature · 23 November 2006

Die "Welcome Message" kommt nicht nach dem dritten falschen Login, sondern vor dem ersten - das ist die allererste Nachricht, die der Server an den Client schickt - in den Domain-Einstellungen unter Nachrichten kann diese angepasst oder gelöscht werden.

rapid · 23 November 2006

Ok, danke für deine Hilfe.
Das heißt dann aber auch das KEINE Anmeldung erfolgt ist, richtig ??

Danke und Gruß
Alf Benn

KOENICH · 23 November 2006

Richtig.

Hailender · 27 Februar 2008

Hi @ll,
ich habe das selbe Problem. Auch wenn ich mich mit meinem Namen 3 x falsch angemeldet habe, kann ich es ruhig immer weiter versuchen bis ich das richtige Passwort eingebe.
Was mache ich falsch oder was muss da nun so richtig eingestellt werden um dieses zu blöcken?

Vieln Dank schon mal im Voraus...

Supernature · 27 Februar 2008

Schau mal etwas weiter oben im Beitrag von KOENICH - was hast Du dort eingestellt.

Hailender · 27 Februar 2008

Also dort habe ich folgende Einstellungen:

Standard-Authentifizierung --> kein Häkchen
max. Anmeldeversuche --> 3
Verzögerung bei falschem Login --> 3600
Umleitung bei falschem Login --> Weber (Dummy-Benutzer)

Supernature · 28 Februar 2008

Die Verzögerung von 3600 Sekunden ist ziemlich heftig - das bedeutet ja, das der Client erst nach einer Stunde überhaupt die Meldung sieht, dass seine Daten falsch waren.
Allerdings aber nur dann, wenn keine Umleitung definiert ist, denn diese erfolgt sofort, wenn Benutzername oder Passwort falsch sind.
Der Login, auf den umgeleitet wird, sollte dann natürlich kein Passwort besitzen.

Hailender · 28 Februar 2008

Wenn eine Umleitung auf einen Account ohne PAsswort erfolgt, ist der Hacker doch auf dem Server. Dies will ich doch eigentlich vermeiden

Oder habe ich da etwas falsch verstanden

Supernature · 29 Februar 2008

Und was bringt es, ihn auf einen Account umzuleiten, mit dem er dann auch nicht reinkommt?

Gehen wir mal davon aus, ein böser Hacker möchte auf Deinen Server.
Mit der Umleitung sorgst Du dafür, dass er nach dem ersten Versuch denkt, er habe es geschafft, und es deshalb auch nicht mehr weiter versucht.
Wenn Du ganz gemein sein willst, leg noch ein paar hübsche Dateien ab, zum Beispiel eine jennifer_lopez_anal.mpg mit 300 Megabyte, die in Wahrheit eine Textdatei ist, in der millionenfach "Ätsch Du Depp!" steht :ätsch.

Und noch ein ganz praktisches Beispiel für die Umleitung: In dem Zielverzeichnis liegt eine kleine Textdatei mit einer Anleitung für den Client, was er denn möglicherweise falsch gemacht hat.

Also: Entweder eine Umleitung, die dann auch funktioniert, oder gar keine.

Hailender · 29 Februar 2008

Schon geschehen

Dankeeeeeeeee...

telefon_mann · 3 März 2008

Supernature schrieb:
Wenn Du ganz gemein sein willst, leg noch ein paar hübsche Dateien ab, zum Beispiel eine jennifer_lopez_anal.mpg mit 300 Megabyte, die in Wahrheit eine Textdatei ist, in der millionenfach "Ätsch Du Depp!" steht :ätsch.

Gibt es hierfür ein Tool (am besten Freeware), welches die Datei auf eine solche Größe heranschwillen lässt (damit ich nicht ne Stunde lang Strg+V gedrückt halten muss bzw. feskleben muss)?

Supernature · 5 März 2008

Sowas gibt es tatsächlich

MyNikko.com - Dummy File Creator

Sicherheit und Antihammering

rapid

Herzlich willkommen!

KOENICH

der Monarch

rapid

Herzlich willkommen!

Supernature

Und jetzt?

rapid

Herzlich willkommen!

KOENICH

der Monarch

Hailender

Herzlich willkommen!

Supernature

Und jetzt?

Hailender

Herzlich willkommen!

Supernature

Und jetzt?

Hailender

Herzlich willkommen!

Supernature

Und jetzt?

Hailender

Herzlich willkommen!

telefon_mann

geht ans Telefon ran

Supernature

Und jetzt?