Current time: 12-23-2024, 06:58 PM Hello There, Guest! (LoginRegister)


Post Reply 
 
Thread Rating:
  • 0 Votes - 0 Average
  • 1
  • 2
  • 3
  • 4
  • 5
dos attacken auf proftpd
Author Message
fulltilt Offline
Member
***

Posts: 1,225
Joined: Apr 2007
Reputation: 5
Post: #1
dos attacken auf proftpd
habe seit 2 tagen auf 2 systemen zur gleichen zeit heftige dos attacken auf den ftp server (load bis 110%) ...
die angreifer habe ich erst mal ausgesperrt allerdings gehts bestimmt bald wieder los
gibt es bei proftpd ein sicherheitsproblem bzw was kann man noch tun um diese verbindungen zu blockieren - fail2ban hat da nicht schnell genug reagiert bzw überhaut noch reagiert ...
MaxInstances 30 (proftpd.conf)
wäre ist es ratsam die MaxInstances noch weiter runter zu setzen?

##edit##
habe hier noch etwas entdeckt:
fail2ban.actions.action: ERROR iptables -N fail2ban-proftpd
iptables -A fail2ban-proftpd -j RETURN
iptables -I INPUT -p tcp -m multiport --dports ftp,ftp-data,ftps,ftps-data -j fail2ban-proftpd returned 400
(This post was last modified: 12-02-2010 09:36 PM by fulltilt.)
12-02-2010 09:20 PM
Find all posts by this user Quote this message in a reply
ShadowJumper Offline
Member
***

Posts: 287
Joined: Sep 2008
Reputation: 2
Post: #2
RE: dos attacken auf proftpd
Hi,

ja da gibt/gab es eine aktuelle Lücke im Proftpd. Diese sollte aber von den Distributionen mittlerweile eigentlich gefixt worden sein.
12-02-2010 10:04 PM
Find all posts by this user Quote this message in a reply
fulltilt Offline
Member
***

Posts: 1,225
Joined: Apr 2007
Reputation: 5
Post: #3
RE: dos attacken auf proftpd
hm - bei den beiden lenny server kann ich mich in letzter zeit nicht an ein proftpd update erinnern ...
hab jetzt erstmal die fail2ban conf verbessert das es funktioniert und die instanzen auf 20 gesetzt :-)


(12-02-2010 10:04 PM)ShadowJumper Wrote:  ja da gibt/gab es eine aktuelle Lücke im Proftpd. Diese sollte aber von den Distributionen mittlerweile eigentlich gefixt worden sein.
12-02-2010 10:14 PM
Find all posts by this user Quote this message in a reply
ShadowJumper Offline
Member
***

Posts: 287
Joined: Sep 2008
Reputation: 2
Post: #4
RE: dos attacken auf proftpd
Es gab ein Update, aber soweit ich mich erinnern kann liegt das schon gut 4-6 Wochen zurück. Ist also eigentlich schon "alt".Wink
12-02-2010 11:48 PM
Find all posts by this user Quote this message in a reply
BeNe Offline
Moderator
*****
Moderators

Posts: 5,899
Joined: Jan 2007
Reputation: 68
Post: #5
RE: dos attacken auf proftpd
Mehr oder weniger. Bei Lenny ist allerdings eine ältere Version dabei die diesen
Bug nicht hatte, daher war auch kein Update nötig.

Greez BeNe
12-02-2010 11:55 PM
Visit this user's website Find all posts by this user Quote this message in a reply
fulltilt Offline
Member
***

Posts: 1,225
Joined: Apr 2007
Reputation: 5
Post: #6
RE: dos attacken auf proftpd
mir ist vorher nicht aufgefallen das fail2ban nicht richtig funktionierte ...
ich denke das wird jetzt wohl wieder ruhiger werden mit dos Big Grin

LG
12-03-2010 12:00 AM
Find all posts by this user Quote this message in a reply
ShadowJumper Offline
Member
***

Posts: 287
Joined: Sep 2008
Reputation: 2
Post: #7
RE: dos attacken auf proftpd
(12-03-2010 12:00 AM)fulltilt Wrote:  mir ist vorher nicht aufgefallen das fail2ban nicht richtig funktionierte ...
ich denke das wird jetzt wohl wieder ruhiger werden mit dos Big Grin

LG

Ja, dank fail2ban hat man echt ruhe.Früher hatte ich die Logs teilweise Seitenlang voll mit "angriffen" auf alle möglichen Dienste und vor allem Programme (z.b. pma und co).

Mit fail2ban ist hingegen relativ schnell ruhe, ich habe es im letzten halben Jahr nur 1x erlebt, das fortlaufend von 2 IPs was gekommen ist. Fortlaufend daher, weil die 2. IP genau dort weitergemacht hat, wo die erste 1. IP aufgehört hat, also z.b. suche Ordner pma1,pma2,pma3 -> Bann, IP2 daraufhin suche Ordner pma4, pma5, pma6 -> Bann, danach war ruhe. Auf einem anderen System was zeitgleich noch nicht mit fail2ban lief konnte man aber sehen das die da hunderte von Verzeichnissen abgesucht haben.

Man ist dann einfach nicht mehr interessant (gibt wohl genug bessere bzw. leichtere Ziele).
12-03-2010 12:09 AM
Find all posts by this user Quote this message in a reply
fulltilt Offline
Member
***

Posts: 1,225
Joined: Apr 2007
Reputation: 5
Post: #8
RE: dos attacken auf proftpd
hab nur anfangs beim starten von fail2ban 100% cpu load, geht dann aber nach 1 minute ganz runter - sind etwa 500 webs auf der kiste drauf (viele logfiles) ...
sind das schon zu viele webs?
12-03-2010 12:19 AM
Find all posts by this user Quote this message in a reply
menki Offline
Member
***

Posts: 643
Joined: May 2008
Reputation: 0
Post: #9
RE: dos attacken auf proftpd
hallo,

hängt natürlich vom server ab. aber wie ich das ganze einschätzen konnte sind 200 webs auf einem dualcore mit 8gb ram schon genug. vor allem an feiertagen steigt teilweise die load drastisch an. Smile

MENKI
(This post was last modified: 12-03-2010 09:41 PM by menki.)
12-03-2010 02:11 AM
Find all posts by this user Quote this message in a reply
fulltilt Offline
Member
***

Posts: 1,225
Joined: Apr 2007
Reputation: 5
Post: #10
RE: dos attacken auf proftpd
hier scheint es doch ein massives security problem zu sein:
http://www.proftpd.org/index.html
12-03-2010 07:23 PM
Find all posts by this user Quote this message in a reply
Post Reply 


Forum Jump:


User(s) browsing this thread: 1 Guest(s)