Брутфорс ProFTPD, sshit?

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Гость
проходил мимо

Брутфорс ProFTPD, sshit?

Непрочитанное сообщение Гость » 2008-11-24 22:42:23

Привет всем.

Возникла проблема - боты упорно долбят root и administrator на профтпд. Хотелось бы заткнуть, ибо во 1 лишняя нагрузка, во 2 - вдруг додолбят :)

На сервере стоит SSHIT, который банит через IPFW пободных чудиков на SSH.
Искал по портам и наткнулся:

Port: sshit-0.6_4
Path: /usr/ports/security/sshit
Info: Checks for SSH/FTP bruteforce and blocks given IPs

Т.е. по логике он должен уметь резать и атаки на фтп? Погуглил, внятной документации на эту тему нет :(

Может, кто пробовал?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: Брутфорс ProFTPD, sshit?

Непрочитанное сообщение zingel » 2008-11-25 10:21:36

порт поменяй
Z301171463546 - можно пожертвовать мне денег

Гость
проходил мимо

Re: Брутфорс ProFTPD, sshit?

Непрочитанное сообщение Гость » 2008-11-25 11:20:36

Не могу, там фтп не только для меня, но и для юзеров.

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: Брутфорс ProFTPD, sshit?

Непрочитанное сообщение zingel » 2008-11-25 11:51:43

лишняя нагрузка - отруби логи и настрой доступ из своих подесетей.
Z301171463546 - можно пожертвовать мне денег

Гость
проходил мимо

Re: Брутфорс ProFTPD, sshit?

Непрочитанное сообщение Гость » 2008-11-25 14:09:37

Сервер смотрит в Интернет, не в конкретную подсеть :)

Логи вырубать страшно..

Аватара пользователя
Laa
ст. лейтенант
Сообщения: 1032
Зарегистрирован: 2008-02-21 18:25:33
Откуда: Украина, Россия

Re: Брутфорс ProFTPD, sshit?

Непрочитанное сообщение Laa » 2008-11-25 14:16:43

Я тоже об этом думаю, тоже есть такая же проблема.

Пока вижу как вариант использовать явные разрешения для каждого пользователя откуда можно коннектиться через pure-pw. Криво, но тем не менее...
exim: помните, что выдавая deny, вы можете недоставить ваше же письмо, зарубив sender-verify удаленного MTA к вашему MTA!!!

Аватара пользователя
koffu
сержант
Сообщения: 154
Зарегистрирован: 2008-03-23 0:51:18
Откуда: Киев
Контактная информация:

Re: Брутфорс ProFTPD, sshit?

Непрочитанное сообщение koffu » 2008-11-25 23:46:37

Попробовать установить в pf правило с max-src-conn-rate 2/60 и флагами S/SA, нормальный клиент не будет логиниться/разлогиниться 20 раз в секунду

Гость
проходил мимо

Re: Брутфорс ProFTPD, sshit?

Непрочитанное сообщение Гость » 2008-11-26 10:11:28

Ну я пока подобным образом сделал, но через inetd.

ФТП
проходил мимо

Re: Брутфорс ProFTPD, sshit?

Непрочитанное сообщение ФТП » 2009-09-04 12:12:59

Та же проблема столкнулся подбором паролей на фтп (pure-ftpd).
Решал кто нить и как?

Аватара пользователя
ProFTP
подполковник
Сообщения: 3388
Зарегистрирован: 2008-04-13 1:50:04
Откуда: %&й
Контактная информация:

Re: Брутфорс ProFTPD, sshit?

Непрочитанное сообщение ProFTP » 2009-09-04 14:53:09

элементарно, смотреть логи, те кто дрочат, тех банить по ipfw
Pеrl FAQ
perl -e 'print join"",map $$_[rand@$_],([0..9,'a'..'z','A'..'Z'])x30'
ИзображениеИзображение

Аватара пользователя
server801
ст. лейтенант
Сообщения: 1398
Зарегистрирован: 2008-09-27 21:15:16
Откуда: Саратов
Контактная информация:

Re: Брутфорс ProFTPD, sshit?

Непрочитанное сообщение server801 » 2009-09-04 16:42:49

denyhosts не?

arkan
ст. прапорщик
Сообщения: 559
Зарегистрирован: 2008-08-03 19:58:13
Откуда: Новосибирск
Контактная информация:

Re: Брутфорс ProFTPD, sshit?

Непрочитанное сообщение arkan » 2009-09-04 17:03:47

Гость писал(а): боты упорно долбят root и administrator на профтпд. Хотелось бы заткнуть, ибо вдруг додолбят :)
да вы батенька камикадзе однако
попробуйте вот это ftpasswd
http://www.castaglia.org/proftpd/contrib/ftpasswd.html

Аватара пользователя
kabachok
мл. сержант
Сообщения: 148
Зарегистрирован: 2009-01-20 2:13:18
Откуда: msk.ru
Контактная информация:

Re: Брутфорс ProFTPD, sshit?

Непрочитанное сообщение kabachok » 2009-09-07 11:58:39

Мы стены ломаем силой ума. © Кирпичи.

snorlov
подполковник
Сообщения: 3829
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Брутфорс ProFTPD, sshit?

Непрочитанное сообщение snorlov » 2009-09-07 16:29:31

Гость писал(а): Port: sshit-0.6_4
Path: /usr/ports/security/sshit
Info: Checks for SSH/FTP bruteforce and blocks given IPs
Т.е. по логике он должен уметь резать и атаки на фтп? Погуглил, внятной документации на эту тему нет :(
Может, кто пробовал?
Sshit тупо разбирает строку, которую пишут auth.info, на поиск слов типа invalid user, ну и т.д. и если они встречаются, то идет дальнейший разбор на определение ip или dns-имени компьютера с которого пытаются осуществить вход, который затем добавляется в таблицу для файрвола, если попыток больше указанного вами числа.
Добавьте необходимые слова и натравите его на соответствующий лог. Я к примеру в sshit добавлял user root, ну есть у нас чудаки, которые не знают, что по умолчанию root в Free не может зайти по ssh