ataque de Bruteforce en mi servidor FTP

Navega tus respuestas
15

Recientemente instalé VSFTPD en mi servidor personal para compartir archivos a través de FTP. En el archivo vsftpd.log, veo cientos de intentos fallidos para iniciar sesión con nombres de usuario como "adminitrator", "adminitrator1", "adminitrator2", "adminitrator123" etc.

Me sorprende porque acabo de configurar mi servidor FTP y pensé que nadie sabría de su existencia. No le comuniqué a nadie que mi servidor FTP existe.

Supongo que con las herramientas de escaneo de puertos, uno hubiera encontrado que el puerto FTP está abierto. Sin embargo, me pregunto cómo habría conseguido mi IP.

  • Descargué un archivo torrent, ¿eso expondría mi dirección IP?

  • ¿Es bastante común que el atacante recopile la dirección IP de los rastreadores de torrent o algún otro servicio? ¿Alguna idea de cómo el atacante obtiene la dirección IP? (como en el caso del correo no deseado: los spambots se utilizan para recopilar el ID de correo electrónico)

  • Todos los punteros generales para que un recién llegado asegure el servidor (libros, videos, revistas, blogs, etc.)

pregunta 18bytes 08.08.2011 - 09:32
fuente

3 respuestas

31

No es necesario que averigüe cómo obtuvieron su IP: todo el Internet está siendo escaneado constantemente por personas malintencionadas, bots, etc. Si tiene un servidor FTP en Internet, uno de estos análisis lo encontrará y un Comenzarán toda una serie de intentos de ataque.

Su inconveniente es que no puede proteger un servidor FTP. FTP simplemente no fue diseñado para proporcionar cifrado o autenticación fuerte, por lo que ha quedado en desuso.

La recomendación es reemplazarlo con una de las alternativas seguras, como SFTP, o solo proporcionar acceso a través de SSH. Lo bueno es que SFTP es prácticamente un reemplazo directo en la mayoría de los sistemas operativos.

Actualizar : en realidad, estás usando vsftpd, por lo que puedes configurar ftps para agregar autenticación y cifrado. Echa un vistazo a enlace

    
respondido por el Rory Alsop 08.08.2011 - 11:09
fuente
17

Otra cosa que puedes hacer es agregar una regla de "fuerza bruta" de iptables. Esto permitirá a las ip hacer NUEVAS conexiones x veces dentro de y segundos. Una vez que se hayan alcanzado estos límites, los paquetes se eliminarán. Esto evita que las fuerzas brutas ataquen continuamente a su servidor. Tengo tal protección en puertos escaneados comunes como FTP, SSH, IMAP, POP3, SMTP, etc ...

Ejemplo de reglas que utilizo: 

iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --set --name BRUTEFORCE
iptables -A INPUT -i eth0 -p tcp --dport 21 -m state --state NEW -m recent --set --name BRUTEFORCE
iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 8 --rttl --name BRUTEFORCE -j DROP
    
respondido por el Goez 08.08.2011 - 11:50
fuente
15

Hay muchos programas que rastrean internet buscando hosts vulnerables. Ciertamente, hay personas que atacan sus ataques, pero a partir de los registros de torrent no se obtendrán objetivos muy interesantes.

Eche un vistazo al sitio sans.org para ver las listas de verificación básicas sobre cómo proteger su servidor.

    
respondido por el symcbean 08.08.2011 - 10:21
fuente

Lea otras preguntas en las etiquetas

¿Cuántas rondas de hash es suficiente para un administrador de contraseñas? Problemas de confianza relativos al código abierto