Wurde ich gehackt? oO

Barton

kennt sich schon aus
Heut stand was verdachtiges in meiner Logfile. Also, nicht nur heute, aber heut ists mir aufgefallen...!
Das sieht mir doch sehr nach nem Hacker aus...? Oder was is das? -->

06/12/18 00:13:56, 61, 58.120.226.6, , new connection from 58.120.226.6 on 83.97.86.6:21
06/12/18 00:14:00, 61, 58.120.226.6, , sending welcome message.
06/12/18 00:14:00, 61, 58.120.226.6, , 220 Gene6 FTP Server v3.8.0 (Build 34) ready...
06/12/18 00:14:01, 61, 58.120.226.6, , USER Administrator
06/12/18 00:14:01, 61, 58.120.226.6, Administrator, 331 Password required for Administrator.
06/12/18 00:14:01, 61, 58.120.226.6, Administrator, PASS ****
06/12/18 00:14:01, 61, 58.120.226.6, Administrator, login failed.
06/12/18 00:14:04, 61, 58.120.226.6, Administrator, 530 Login or Password incorrect.
06/12/18 00:14:05, 61, 58.120.226.6, Administrator, USER Administrator
06/12/18 00:14:05, 61, 58.120.226.6, Administrator, 331 Password required for Administrator.
06/12/18 00:14:05, 61, 58.120.226.6, Administrator, PASS ****
06/12/18 00:14:05, 61, 58.120.226.6, Administrator, login failed.
06/12/18 00:14:08, 61, 58.120.226.6, Administrator, 530 Login or Password incorrect.
06/12/18 00:14:08, 61, 58.120.226.6, Administrator, USER Administrator
06/12/18 00:14:08, 61, 58.120.226.6, Administrator, 331 Password required for Administrator.
06/12/18 00:14:09, 61, 58.120.226.6, Administrator, PASS ****
06/12/18 00:14:09, 61, 58.120.226.6, Administrator, login failed.
06/12/18 00:14:12, 61, 58.120.226.6, Administrator, 530 Service not available, closing control connection.
06/12/18 00:14:12, 61, 58.120.226.6, Administrator, disconnected. (00d00:00:16)
06/12/18 00:14:12, 62, 58.120.226.6, , new connection from 58.120.226.6 on 83.97.86.6:21
06/12/18 00:14:12, 62, 58.120.226.6, , sending welcome message.
06/12/18 00:14:12, 62, 58.120.226.6, , 220 Gene6 FTP Server v3.8.0 (Build 34) ready...
06/12/18 00:14:13, 62, 58.120.226.6, , USER Administrator
06/12/18 00:14:13, 62, 58.120.226.6, Administrator, 331 Password required for Administrator.
06/12/18 00:14:13, 62, 58.120.226.6, Administrator, PASS ****
06/12/18 00:14:13, 62, 58.120.226.6, Administrator, login failed.
06/12/18 00:14:16, 62, 58.120.226.6, Administrator, 530 Login or Password incorrect.
06/12/18 00:14:17, 62, 58.120.226.6, Administrator, USER Administrator
06/12/18 00:14:17, 62, 58.120.226.6, Administrator, 331 Password required for Administrator.
06/12/18 00:14:17, 62, 58.120.226.6, Administrator, PASS ****
06/12/18 00:14:17, 62, 58.120.226.6, Administrator, login failed.
06/12/18 00:14:20, 62, 58.120.226.6, Administrator, 530 Login or Password incorrect.
06/12/18 00:14:20, 62, 58.120.226.6, Administrator, USER Administrator
06/12/18 00:14:20, 62, 58.120.226.6, Administrator, 331 Password required for Administrator.
06/12/18 00:14:21, 62, 58.120.226.6, Administrator, PASS ****
06/12/18 00:14:21, 62, 58.120.226.6, Administrator, login failed.
06/12/18 00:14:24, 62, 58.120.226.6, Administrator, 530 Service not available, closing control connection.
06/12/18 00:14:24, 62, 58.120.226.6, Administrator, disconnected. (00d00:00:11)
06/12/18 00:14:24, 63, 58.120.226.6, , new connection from 58.120.226.6 on 83.97.86.6:21
06/12/18 00:14:24, 63, 58.120.226.6, , sending welcome message.
06/12/18 00:14:24, 63, 58.120.226.6, , 220 Gene6 FTP Server v3.8.0 (Build 34) ready...
06/12/18 00:14:25, 63, 58.120.226.6, , USER Administrator

und das Ganze mindestens 20x in Folge innert 20 min!
 
Das nicht, aber jemand hats versucht. Brute force.
Konfigurier den Server besser dahingehend, dass er nach drei falschen Passwörtern die Ip für ne halbe Stunde bannt. Nur zur Sicherheit.
 
Wahrscheinlich nur normales Hintergrundrauschen, kein Hackangriff.

Habe auch alle paar Tage so Zeugs in den Logfiles. Der versucht immer das (nicht vorhandene) Verzeichnis sarcaxxo zu löschen.
 
Oh okay, ich danke euch ^^ wie ichs mir dachte...

Also ich hab jezt folgende einstellungen gemacht -->
- Anti-Hammering aktiviert: Sperre IP 3000 min bei 10 Verbindungen in 120 min.

- maximale Anmeldeversuche: 3
- Verzögerung bei fehlerhafter Anmeldung: 9999999 sekunden :D

Und ich hab die Zugangszeit beschränkt. Vorher war ich 24/7 online...
Hab da aber nur gesehen, dass man den Usern den Zugang zeitlich begrenzen kann... kann man denn nicht auch ne Zeitspanne angeben, in der der FTP dann automatisch Offline geht?

@ Brummelchen: Wie meinst du, Admin entfernen? Was bringt das und warum? Und wie mach ich das? ^^"

@ MaXg: Was für ein Hintergrundlauschen? Wer macht das?
 
@Barton: Ich denke, Brummelchen meint, du sollst dir für den Admin-Account einen anderen Namen überlegen, den Admin ist ja Standard und daher wird dieser Account auch immer für die Bruteforce-Atacke benutzt.
 
Mein Admin darf sich nur von 127.0.0.1 anmelden. Ebenso ist auch die Administration nur von 127.0.0.1 möglich.
 
Vielen Dank euch beiden! ^^
Nur, wo kann ich das einstellen mit dem Admin-Name und der IP? Hab das nicht gefunden, sry.
 
Im Tree "Administration" -> Rechtsklick -> "Properties" -> "IP binding"
und "Administration\Users" -> Benutzer "Administrator" -> Rechtsklick -> "Properties" -> "IP access"

(habs in englisch)
 
ok, thx! :)

@ Brummelchen: Das Handbuch hab ich vorher natürlich gelesen! Aber das kam mir anfangs alles noch etwas spanisch vor, als ich noch wenig ahnung hatte :D aber jezt besserts langsam und mein FTP wird immer besser, dank euch! ^^
 
mbrandhu schrieb:
...du sollst dir für den Admin-Account einen anderen Namen überlegen, den Admin ist ja Standard und daher wird dieser Account auch immer für die Bruteforce-Atacke benutzt.

Dieser "Angriff" wie im oberen Logfile bezieht sich aber auf ein ganz normales Benutzerkonto des Servers.

Der Administrator des FTP-Servers unterhält sich auf ganz andere weise mit dem Server. (anderes Protokoll & Port).

Siehe post von ruhe. Da geht von aussen nichts mehr.
Die Loginversuche (Administrator) auf den Server wirst du trotzdem nicht los. ;)

Wenn du in der Kneipe ein Bier haben willst, musst du es ja auch erst Bestellen und auf dich aufmerksam machen.
 
Hmmm, okay. Aber wer macht sowas und warum? Und wenn ein Account zB. das Passwort 12345 hätte ist das schlecht? Und was passiert, wenn ein Loginversuch auf einmal erfolgreich ist?

Fragen über Fragen... ^^
 
Nochma ne Frage: Grad versuchte, sich jemand mit dem Namen adam einzuloggen (hab keinen Acc für nen adam).
Der hats etwa 10x versucht und wurde nicht gebannt vom FTP, obwohl er nach 3 Versuchen hätte gebannt werden müssen und Anti-Hammering aktiviert ist... hab den mal manuell gebannt...
Warum blockt denn G6 solche typen nicht, obwohls so eingestellt ist?

Kann ich irgendwo einstellen, dass der FTP in ner gewissen Zeitspanne Offline gehen soll? Ich kann ja nur den Usern den Zugriff verbieten während einer Zeit, aber ich will dass der FTP ganz offline geht...!
 
Poste doch bitte mal einen Screenshot von der entsprechenden Einstellung und einen Log-Auszug.
Mit der Sperre nach drei Versuchen ändert sich nur die Meldung, die er bekommt.
 
unbenanntbp0.png

unbenannt1gg8.png


06/12/24 03:01:11, 11, 218.25.62.75, , new connection from 218.25.62.75 on **.**.**.*:21
06/12/24 03:01:16, 11, 218.25.62.75, , sending welcome message.
06/12/24 03:01:16, 11, 218.25.62.75, , 220 Gene6 FTP Server v3.8.0 (Build 34) ready...
06/12/24 03:01:17, 11, 218.25.62.75, , USER adam
06/12/24 03:01:17, 11, 218.25.62.75, adam, 331 Password required for adam.
06/12/24 03:01:17, 11, 218.25.62.75, adam, PASS ****
06/12/24 03:01:17, 11, 218.25.62.75, adam, login failed.
06/12/24 03:02:13, 12, 218.25.62.75, , new connection from 218.25.62.75 on **.**.**.*:21
06/12/24 03:02:13, 12, 218.25.62.75, , sending welcome message.
06/12/24 03:02:13, 12, 218.25.62.75, , 220 Gene6 FTP Server v3.8.0 (Build 34) ready...
06/12/24 03:02:14, 12, 218.25.62.75, , USER adam
06/12/24 03:02:14, 12, 218.25.62.75, adam, 331 Password required for adam.
06/12/24 03:02:14, 12, 218.25.62.75, adam, PASS ****
06/12/24 03:02:14, 12, 218.25.62.75, adam, login failed.
06/12/24 03:02:17, 11, 218.25.62.75, adam, 530 Login or Password incorrect.
06/12/24 03:02:17, 11, 218.25.62.75, adam, 421 Connection closed, timed out.
06/12/24 03:02:17, 11, 218.25.62.75, adam, disconnected. (00d00:01:06)
06/12/24 03:03:14, 12, 218.25.62.75, adam, 530 Login or Password incorrect.
06/12/24 03:03:14, 12, 218.25.62.75, adam, 421 Connection closed, timed out.
06/12/24 03:03:14, 12, 218.25.62.75, adam, disconnected. (00d00:01:01)
06/12/24 03:03:16, 13, 218.25.62.75, , new connection from 218.25.62.75 on **.**.**.*:21
06/12/24 03:03:16, 13, 218.25.62.75, , sending welcome message.
06/12/24 03:03:16, 13, 218.25.62.75, , 220 Gene6 FTP Server v3.8.0 (Build 34) ready...
06/12/24 03:03:16, 13, 218.25.62.75, , USER adam
06/12/24 03:03:16, 13, 218.25.62.75, adam, 331 Password required for adam.
06/12/24 03:03:17, 13, 218.25.62.75, adam, PASS ****
06/12/24 03:03:17, 13, 218.25.62.75, adam, login failed.
06/12/24 03:04:17, 13, 218.25.62.75, adam, 530 Login or Password incorrect.
06/12/24 03:04:17, 13, 218.25.62.75, adam, 421 Connection closed, timed out.
06/12/24 03:04:17, 13, 218.25.62.75, adam, disconnected. (00d00:01:01)
06/12/24 03:04:18, 14, 218.25.62.75, , new connection from 218.25.62.75 on **.**.**.*:21
06/12/24 03:04:18, 14, 218.25.62.75, , sending welcome message.
06/12/24 03:04:18, 14, 218.25.62.75, , 220 Gene6 FTP Server v3.8.0 (Build 34) ready...
06/12/24 03:04:19, 14, 218.25.62.75, , USER adam
06/12/24 03:04:19, 14, 218.25.62.75, adam, 331 Password required for adam.
06/12/24 03:04:19, 14, 218.25.62.75, adam, PASS ****
06/12/24 03:04:19, 14, 218.25.62.75, adam, login failed.
06/12/24 03:05:19, 14, 218.25.62.75, adam, 530 Login or Password incorrect.
06/12/24 03:05:19, 14, 218.25.62.75, adam, 421 Connection closed, timed out.
06/12/24 03:05:19, 14, 218.25.62.75, adam, disconnected. (00d00:01:01)
06/12/24 03:05:20, 15, 218.25.62.75, , new connection from 218.25.62.75 on **.**.**.*:21
06/12/24 03:05:20, 15, 218.25.62.75, , sending welcome message.
06/12/24 03:05:20, 15, 218.25.62.75, , 220 Gene6 FTP Server v3.8.0 (Build 34) ready...
06/12/24 03:05:21, 15, 218.25.62.75, , USER adam
06/12/24 03:05:21, 15, 218.25.62.75, adam, 331 Password required for adam.
06/12/24 03:05:22, 15, 218.25.62.75, adam, PASS ****
06/12/24 03:05:22, 15, 218.25.62.75, adam, login failed.
06/12/24 03:06:22, 15, 218.25.62.75, adam, 530 Login or Password incorrect.
06/12/24 03:06:22, 15, 218.25.62.75, adam, 421 Connection closed, timed out.
06/12/24 03:06:22, 15, 218.25.62.75, adam, disconnected. (00d00:01:01)
06/12/24 03:06:23, 16, 218.25.62.75, , new connection from 218.25.62.75 on **.**.**.*:21
06/12/24 03:06:23, 16, 218.25.62.75, , sending welcome message.
06/12/24 03:06:23, 16, 218.25.62.75, , 220 Gene6 FTP Server v3.8.0 (Build 34) ready...
06/12/24 03:06:24, 16, 218.25.62.75, , USER adam
06/12/24 03:06:24, 16, 218.25.62.75, adam, 331 Password required for adam.
06/12/24 03:06:24, 16, 218.25.62.75, adam, PASS ****
06/12/24 03:06:24, 16, 218.25.62.75, adam, login failed.
06/12/24 03:07:24, 16, 218.25.62.75, adam, 530 Login or Password incorrect.
06/12/24 03:07:24, 16, 218.25.62.75, adam, 421 Connection closed, timed out.
06/12/24 03:07:24, 16, 218.25.62.75, adam, disconnected. (00d00:01:01)
06/12/24 03:07:25, 17, 218.25.62.75, , new connection from 218.25.62.75 on **.**.**.*:21
06/12/24 03:07:26, 17, 218.25.62.75, , sending welcome message.
06/12/24 03:07:26, 17, 218.25.62.75, , 220 Gene6 FTP Server v3.8.0 (Build 34) ready...
06/12/24 03:07:26, 17, 218.25.62.75, , USER adam
06/12/24 03:07:26, 17, 218.25.62.75, adam, 331 Password required for adam.
06/12/24 03:07:27, 17, 218.25.62.75, adam, PASS ****
06/12/24 03:07:27, 17, 218.25.62.75, adam, login failed.
06/12/24 03:08:27, 17, 218.25.62.75, adam, 530 Login or Password incorrect.
06/12/24 03:08:27, 17, 218.25.62.75, adam, 421 Connection closed, timed out.
06/12/24 03:08:27, 17, 218.25.62.75, adam, disconnected. (00d00:01:01)
06/12/24 03:08:28, 18, 218.25.62.75, , new connection from 218.25.62.75 on **.**.**.*:21
06/12/24 03:09:28, 18, 218.25.62.75, , 421 Not logged in, access denied (H?).
06/12/24 03:09:28, 18, 218.25.62.75, , will be disconnected : IP is banned.


...da hab ich dann die IP gebannt, weil der mir auch die Nerven ging :rolleyes:
 
Dem Logfile nach konnte die Sperre noch nicht greifen. (10x in 120sec.)

Mit den einstellungen im Bild sollte schon beim 4ten Login ruhe sein.
 

Anhänge

  • Zwischenablage02.jpg
    Zwischenablage02.jpg
    5,2 KB · Aufrufe: 238
Aber die Sperre aufgrund der ungültigen Anmeldungen sollte doch greifen, zumindest sollte eine andere Meldung kommen - insofern verstehe ich die Irritation.
 
Oben