Plesk 9 FTP absichern

H

Heimer

New Member
Ich habe heute mal einen Blick in die logauth.log Datei geworfen und dort unmengen von Einträgen wie dem folgenden gefunden:
Code: 
Aug 27 01:58:05 v12345 proftpd[11942]: v12345.1blu.de (88.56.39.58[88.56.39.58]) - USER julian: no such user found from 88.56.39.58 [88.56.39.58] to 88.84.128.45:21 
Aug 27 01:58:05 v12345 proftpd[11942]: v12345.1blu.de (88.56.39.58[88.56.39.58]) - Maximum login attempts (3) exceeded, connection refused 
Aug 27 01:58:05 v12345 proftpd[11942]: v12345.1blu.de (88.56.39.58[88.56.39.58]) - FTP session closed. 
Aug 27 01:58:06 v12345 proftpd[11946]: v12345.1blu.de (88.56.39.58[88.56.39.58]) - USER julian: no such user found from 88.56.39.58 [88.56.39.58] to 88.84.128.45:21 
Aug 27 01:58:06 v12345 proftpd[11946]: v12345.1blu.de (88.56.39.58[88.56.39.58]) - no such user 'julian' 
Aug 27 01:58:06 v12345 proftpd[11946]: v12345.1blu.de (88.56.39.58[88.56.39.58]) - USER julian: no such user found from 88.56.39.58 [88.56.39.58] to 88.84.128.45:21 
Aug 27 01:58:06 v12345 proftpd[11946]: v12345.1blu.de (88.56.39.58[88.56.39.58]) - no such user 'julian' 
Aug 27 01:58:06 v12345 proftpd[11946]: v12345.1blu.de (88.56.39.58[88.56.39.58]) - USER julian: no such user found from 88.56.39.58 [88.56.39.58] to 88.84.128.45:21 
Aug 27 01:58:06 v12345 proftpd[11946]: v12345.1blu.de (88.56.39.58[88.56.39.58]) - Maximum login attempts (3) exceeded, connection refused 
Aug 27 01:58:06 v12345 proftpd[11946]: v12345.1blu.de (88.56.39.58[88.56.39.58]) - FTP session closed.
Da versucht wohl jemand die FTP Zugangsdaten zu knacken, ein Versuch ging über satte 4 Stunden.
Meine Frage ist jetzt ob es eine Möglichkeit gibt eine IP nach X fehlgeschlagenen Login-Versuchen für X Minuten zu blocken ?
Das verwendete OS ist Ubuntu Hardy mit Plesk 9.2.2.
 
Hallo!
Mit (IMHO) etwas Konfigurationsänderungen sollte die z.B. über denyhosts möglich sein.

mfG
Thorsten
 
Hallo!
Besten Dank für die Antwort, DenyHost habe ich jetzt installiert und es läuft soweit auch gut... zumindest wenn es um das absichern des Shell-Zugriffs geht.
FTP funktioniert irgendwie leider nicht, d.h. wenn ich versuche mich x mal mit einem falschen Passwort zu verbinden wird meine IP leider nicht in die hosts.deny Datei geschrieben.
Code: 
BLOCK_SERVICE = ALL
Für weiter Tipps bin ich dankbar.

EDIT: Ok, das Problem ist gelöst, proftpd wird jetzt auch erkannt.
Folgendes musste in die denyhosts.cfg (Quelle: denyhosts-user@lists.sourceforge.net)
Code: 
######################################################################
#
# USERDEF_FAILED_ENTRY_REGEX: if set, this value should contain
# a regular expression that can be used to identify additional
# hackers for your particular ssh configuration.  This functionality
# extends the built-in regular expressions that DenyHosts uses.
# This parameter can be specified multiple times.
# See this faq entry for more details:
#    http://denyhosts.sf.net/faq.html#userdef_regex
#
SSHD_FORMAT_REGEX=.* (sshd.*:|\[sshd\]|proftpd.* \- )(?P<message>.*)
USERDEF_FAILED_ENTRY_REGEX=USER (?P<user>.*):.*\[(::ffff:)?(?P<host>\S+)\]
USERDEF_FAILED_ENTRY_REGEX=Invalid user (?P<user>.*).*from (::ffff:)?(?P<host>\S+)
#
#
######################################################################

Noch eine Frage, wie bekomme ich es hin, dass entweder täglich oder ab einer gewissen Größe der Datei eine neue /var/logauth.log Datei erzeugt wird?
 
Last edited by a moderator:
You must log in or register to reply here.
Back
Top