[Frage] Anti Hammer Option?

Anti Hammer Option?

vom Bulletproof FTP her kenne ich diese Option, leider ist diese nur minimals implementiert.

Besitzt der G6FTP diese Option auch, bzw eine bessere?

Ich will Allgemeine Regeln anlegen, bei der ich bestimmen kann wielange ein User/IP gesperrt wird, wenn er sich versucht in gewisser Zeit zu oft einzuloggen.

Beim BPFTP hat das nur funktioniert wenn die IP den Benutzer gewechselt hat, also z.B. ne Wörterbuchattacke, bei jedem Versuch nen anderer Benutzer mit gleichen Passwort.

Hat der "Bot" aber den Name gleichbehalten griff die regel nicht mehr, weil man nicht in den Optionen sagen kann: "mach das auch wenn einer für Benutzer xyz XXXXXX Passwörter durchprobiert hat".

gruß
SNoop

Die Option findest Du in den Domain-Einstellungen unter Miscellaneous/Verschiedenes.

hmmmm ist genau das gleiche wie es mir auch schon beim BPFTP aufgefallen ist:

nach einstellen gehts immer noch drunter und drüber:

07/06/25 02:13:52, 67, 67.15.38.95, Administrator, USER Administrator
07/06/25 02:13:52, 67, 67.15.38.95, Administrator, 331 Password required for Administrator.
07/06/25 02:13:53, 67, 67.15.38.95, Administrator, PASS ****
07/06/25 02:13:53, 67, 67.15.38.95, Administrator, login failed.
07/06/25 02:13:56, 67, 67.15.38.95, Administrator, 530 Login or Password incorrect.
07/06/25 02:13:57, 67, 67.15.38.95, Administrator, USER Administrator
07/06/25 02:13:57, 67, 67.15.38.95, Administrator, 331 Password required for Administrator.
07/06/25 02:13:57, 67, 67.15.38.95, Administrator, PASS ****
07/06/25 02:13:57, 67, 67.15.38.95, Administrator, login failed.
07/06/25 02:14:00, 67, 67.15.38.95, Administrator, 530 Login or Password incorrect.
07/06/25 02:14:01, 67, 67.15.38.95, Administrator, USER Administrator
07/06/25 02:14:01, 67, 67.15.38.95, Administrator, 331 Password required for Administrator.
07/06/25 02:14:01, 67, 67.15.38.95, Administrator, PASS ****
07/06/25 02:14:01, 67, 67.15.38.95, Administrator, login failed.
07/06/25 02:14:04, 67, 67.15.38.95, Administrator, 530 Login or Password incorrect.
07/06/25 02:14:04, 67, 67.15.38.95, Administrator, USER Administrator
07/06/25 02:14:04, 67, 67.15.38.95, Administrator, 331 Password required for Administrator.
07/06/25 02:14:04, 67, 67.15.38.95, Administrator, PASS ****
07/06/25 02:14:04, 67, 67.15.38.95, Administrator, login failed.
07/06/25 02:14:07, 67, 67.15.38.95, Administrator, 530 Login or Password incorrect.
07/06/25 02:14:08, 67, 67.15.38.95, Administrator, USER Administrator
07/06/25 02:14:08, 67, 67.15.38.95, Administrator, 331 Password required for Administrator.
07/06/25 02:14:08, 67, 67.15.38.95, Administrator, PASS ****
07/06/25 02:14:08, 67, 67.15.38.95, Administrator, login failed.
07/06/25 02:14:11, 67, 67.15.38.95, Administrator, 530 Login or Password incorrect.
07/06/25 02:14:11, 67, 67.15.38.95, Administrator, USER Administrator
07/06/25 02:14:11, 67, 67.15.38.95, Administrator, 331 Password required for Administrator.
07/06/25 02:14:12, 67, 67.15.38.95, Administrator, PASS ****
07/06/25 02:14:12, 67, 67.15.38.95, Administrator, login failed.
07/06/25 02:14:15, 67, 67.15.38.95, Administrator, 530 Service not available, closing control connection.
07/06/25 02:14:15, 67, 67.15.38.95, Administrator, disconnected. (00d00:00:37)
07/06/25 02:14:15, 68, 67.15.38.95, , new connection from 67.15.38.95 on 192.168.178.24:21
07/06/25 02:14:15, 68, 67.15.38.95, , hostname resolved : ev1s-67-15-38-95.ev1servers.net
07/06/25 02:14:18, 68, 67.15.38.95, , will be disconnected : IP is banned.


Die IP wird erst gebannt wenn ich das Manuell mache.

Wie hast Du die Option denn eingestellt?

Anti-Hammering: aktiviert

Reset on Login: Ban IP: 60min if 10 connections in 45 sec
(bedeutet das nur wenn die 10 connections auch erfolgreich waren??)

Mehr kann man da ja auch nicht einstellen.

Du kannst die Werte nach Belieben einstellen, indem Du einfach den gewünschten Wert eintippst. Ich gebe zu, da muss man erstmal drauf kommen . Du kannst es also auch auf maximal 3 Connections einstellen.

das tut aber nichts zur sache, oben das war nur ein auszug aus dem Logg, die Anti Hammer regel ist zwar an, aber trotzdem wird die IP nicht gebannt.

Tat für mich insofern was zur Sache, als dass man in Deinem Log-Auszug sechs Anmeldeversuche sieht und die Option standardmäßig auf "10 Connections" steht - oder hattest Du bei dem Versuch schon einen kleineren Wert drin stehen?

hab jetzt kleinere werte drinnen aber immo scheint kein Bot oder Scriptkiddy interesse zu haben aufn FTP zu wollen, gestern waren es immerhin 3 Leutz die es versucht haben mit Wörterbuch den benutzer bzw passwort rauszubekommen. Aber zum Zeitpunkt des Logs oben war die Option schon aktiv, sicher aus standard 10 connections, aber die 6 waren nur ein Auszug.

Der kunde hatte rund 45 Versuche bevor ich ihn manuell gebannt hab, aber halt auch nur für xxx Zeit.

Mit dieser Einstellung sollte Ruhe sein:

Reset on Login: Ban IP: 60min if 5 connections in 240 sec

Nach Bestätigung der Einstellung den Serverdienst neu starten.

Weitere Lösung ist den Benutzer "Administrator" als dummy Account ohne rechte zu erstellen.

mit dem neustart schien das sich erledigt zu haben. *freu*