Jemand versucht über FTP in mein Server zu kommen
- Thread starter nero
- Start date
Wenn Du Deinem System (der eingesetzten Software, Konfiguration und den vergebenen Paßwörtern) vertraust und nicht nennenswert Ressourcen verbraucht werden: Keine Aktion nötig. Soetwas ist normales Grundrauschen 
Falls doch ein ungutes Gefühl bleibt: Sperr' ihn aus. Wenn es immer die gleiche IP ist (ein - möglicherweise - gehackter Server z.B.), dann sperre diese - mindestens für Port 21.
Ansonsten: Es gibt Software, welche Logfiles auf ungewöhnliche Aktivitäten (z.B. eine hohe gewisse Zahl fehlgeschlagener Login-Versuche aufgrund Paßwort-Raten) erkennen und die verursachende IP automatisch temporär oder auch permanent sperren kann.
Beispiele: Fail2ban, DenyHosts. Oft bietet der betreffende Dienst eine solche Konfigurationsmöglichkeit auch schon von Haus aus.
Falls doch ein ungutes Gefühl bleibt: Sperr' ihn aus. Wenn es immer die gleiche IP ist (ein - möglicherweise - gehackter Server z.B.), dann sperre diese - mindestens für Port 21.
Ansonsten: Es gibt Software, welche Logfiles auf ungewöhnliche Aktivitäten (z.B. eine hohe gewisse Zahl fehlgeschlagener Login-Versuche aufgrund Paßwort-Raten) erkennen und die verursachende IP automatisch temporär oder auch permanent sperren kann.
Beispiele: Fail2ban, DenyHosts. Oft bietet der betreffende Dienst eine solche Konfigurationsmöglichkeit auch schon von Haus aus.
[...]Eine Person[...]
Da ist keine Person, sondern ein Automatismus. Wenn Du den FTP nicht wirklich oft benötigst, schalte ihn ab.
Sicher muss man sich nicht unbedingt Sorgen machen, daß ein "sicheres" Kennwort zufällig getroffen wird.
Aber Maschinen sind sehr ausdauernd und schmieren die Logfiles voll. Schon deswegen sollte man die Bande bannen.
Fail2ban ist eine gute Wahl, sofern die mitgegebenen RegEx-Ausdrücke auf Anhieb funktionieren. Ansonsten tut sich der Laie schwer.
Also unbedingt an der Console die Ausdrücke in den "Filter"-Files testen. zB:
Da ist keine Person, sondern ein Automatismus. Wenn Du den FTP nicht wirklich oft benötigst, schalte ihn ab.
Sicher muss man sich nicht unbedingt Sorgen machen, daß ein "sicheres" Kennwort zufällig getroffen wird.
Aber Maschinen sind sehr ausdauernd und schmieren die Logfiles voll. Schon deswegen sollte man die Bande bannen.
Fail2ban ist eine gute Wahl, sofern die mitgegebenen RegEx-Ausdrücke auf Anhieb funktionieren. Ansonsten tut sich der Laie schwer.
Also unbedingt an der Console die Ausdrücke in den "Filter"-Files testen. zB:
Code:
[COLOR="DarkGreen"]fail2ban-regex[/COLOR] /ort/des/logs [COLOR="DarkRed"]'[/COLOR]\(\S+\[<HOST>\]\)[: -]+ Maximum login attempts \(\S+\) exceeded.$[COLOR="DarkRed"]'[/COLOR]