ispCP - Board - Support
dos attacken auf proftpd - Printable Version

+- ispCP - Board - Support (http://www.isp-control.net/forum)
+-- Forum: ispCP Omega International Area (/forum-22.html)
+--- Forum: German Corner (/forum-26.html)
+---- Forum: Plauderecke (/forum-49.html)
+---- Thread: dos attacken auf proftpd (/thread-12316.html)



dos attacken auf proftpd - fulltilt - 12-02-2010 09:20 PM

habe seit 2 tagen auf 2 systemen zur gleichen zeit heftige dos attacken auf den ftp server (load bis 110%) ...
die angreifer habe ich erst mal ausgesperrt allerdings gehts bestimmt bald wieder los
gibt es bei proftpd ein sicherheitsproblem bzw was kann man noch tun um diese verbindungen zu blockieren - fail2ban hat da nicht schnell genug reagiert bzw überhaut noch reagiert ...
MaxInstances 30 (proftpd.conf)
wäre ist es ratsam die MaxInstances noch weiter runter zu setzen?

##edit##
habe hier noch etwas entdeckt:
fail2ban.actions.action: ERROR iptables -N fail2ban-proftpd
iptables -A fail2ban-proftpd -j RETURN
iptables -I INPUT -p tcp -m multiport --dports ftp,ftp-data,ftps,ftps-data -j fail2ban-proftpd returned 400


RE: dos attacken auf proftpd - ShadowJumper - 12-02-2010 10:04 PM

Hi,

ja da gibt/gab es eine aktuelle Lücke im Proftpd. Diese sollte aber von den Distributionen mittlerweile eigentlich gefixt worden sein.


RE: dos attacken auf proftpd - fulltilt - 12-02-2010 10:14 PM

hm - bei den beiden lenny server kann ich mich in letzter zeit nicht an ein proftpd update erinnern ...
hab jetzt erstmal die fail2ban conf verbessert das es funktioniert und die instanzen auf 20 gesetzt :-)


(12-02-2010 10:04 PM)ShadowJumper Wrote:  ja da gibt/gab es eine aktuelle Lücke im Proftpd. Diese sollte aber von den Distributionen mittlerweile eigentlich gefixt worden sein.



RE: dos attacken auf proftpd - ShadowJumper - 12-02-2010 11:48 PM

Es gab ein Update, aber soweit ich mich erinnern kann liegt das schon gut 4-6 Wochen zurück. Ist also eigentlich schon "alt".Wink


RE: dos attacken auf proftpd - BeNe - 12-02-2010 11:55 PM

Mehr oder weniger. Bei Lenny ist allerdings eine ältere Version dabei die diesen
Bug nicht hatte, daher war auch kein Update nötig.

Greez BeNe


RE: dos attacken auf proftpd - fulltilt - 12-03-2010 12:00 AM

mir ist vorher nicht aufgefallen das fail2ban nicht richtig funktionierte ...
ich denke das wird jetzt wohl wieder ruhiger werden mit dos Big Grin

LG


RE: dos attacken auf proftpd - ShadowJumper - 12-03-2010 12:09 AM

(12-03-2010 12:00 AM)fulltilt Wrote:  mir ist vorher nicht aufgefallen das fail2ban nicht richtig funktionierte ...
ich denke das wird jetzt wohl wieder ruhiger werden mit dos Big Grin

LG

Ja, dank fail2ban hat man echt ruhe.Früher hatte ich die Logs teilweise Seitenlang voll mit "angriffen" auf alle möglichen Dienste und vor allem Programme (z.b. pma und co).

Mit fail2ban ist hingegen relativ schnell ruhe, ich habe es im letzten halben Jahr nur 1x erlebt, das fortlaufend von 2 IPs was gekommen ist. Fortlaufend daher, weil die 2. IP genau dort weitergemacht hat, wo die erste 1. IP aufgehört hat, also z.b. suche Ordner pma1,pma2,pma3 -> Bann, IP2 daraufhin suche Ordner pma4, pma5, pma6 -> Bann, danach war ruhe. Auf einem anderen System was zeitgleich noch nicht mit fail2ban lief konnte man aber sehen das die da hunderte von Verzeichnissen abgesucht haben.

Man ist dann einfach nicht mehr interessant (gibt wohl genug bessere bzw. leichtere Ziele).


RE: dos attacken auf proftpd - fulltilt - 12-03-2010 12:19 AM

hab nur anfangs beim starten von fail2ban 100% cpu load, geht dann aber nach 1 minute ganz runter - sind etwa 500 webs auf der kiste drauf (viele logfiles) ...
sind das schon zu viele webs?


RE: dos attacken auf proftpd - menki - 12-03-2010 02:11 AM

hallo,

hängt natürlich vom server ab. aber wie ich das ganze einschätzen konnte sind 200 webs auf einem dualcore mit 8gb ram schon genug. vor allem an feiertagen steigt teilweise die load drastisch an. Smile

MENKI


RE: dos attacken auf proftpd - fulltilt - 12-03-2010 07:23 PM

hier scheint es doch ein massives security problem zu sein:
http://www.proftpd.org/index.html