FTP Hack als user Administrator

Discussion:

(zu alt für eine Antwort)

Klaus-Holger Trappe

2007-04-23 07:03:31 UTC

Hallo!

Bei einem betreuten System fallen mir seit einiger Zeit
sporadische/wiederholte Einbruchsversuche auf.

Aus diversen internationalen Regionen.

Es wird versucht den user Administrator mit ca. 999 Paßwörtern
anzumelden.

Ist etwas bekannt ob es ein "Virus" oder was-auch-immer ist?

--
Viele Gruesse Klaus-Holger Trappe
(E-Mail hierauf verbleibt unbeachtet)

Ralph A. Schmid, dk5ras

2007-04-23 07:46:54 UTC

Permalink

Post by Klaus-Holger Trappe
Hallo!
Bei einem betreuten System fallen mir seit einiger Zeit
sporadische/wiederholte Einbruchsversuche auf.
Aus diversen internationalen Regionen.
Es wird versucht den user Administrator mit ca. 999 Paßwörtern
anzumelden.

Hach, das kenne ich. Oder derzeit auch verschiedene user, irgendwelche
gängigen Vornamen aus allen Regionen der Welt. Geht immer so 30 min
bis 2h am Stück, und nahezu immer in den Nachtstunden.
Sieht nach gekaperten Rechnern aus, einer davon bei einem
server-hoster in Deutschland, da habe ich mal abuse und den Mieter des
servers (irgend so ein gamer-Fuzzi) zu kontaktieren versucht, aber
bisher keine Reaktion. Mal sehen, ob der gamer im Telephonbuch steht;
er scheint es mit schriftlicher Kommunikation nicht so zu haben, sein
ergoogelter Eintrag in irgendein Forum spricht für einen halben
Analphabeten *g*

Ralph.

Klaus-Holger Trappe

2007-04-23 20:18:47 UTC

Permalink

Hallo,

Post by Ralph A. Schmid, dk5ras
Hach, das kenne ich. Oder derzeit auch verschiedene user, irgendwelche
gängigen Vornamen aus allen Regionen der Welt. Geht immer so 30 min
bis 2h am Stück, und nahezu immer in den Nachtstunden.
Sieht nach gekaperten Rechnern aus, einer davon bei einem
server-hoster in Deutschland, da habe ich mal abuse und den Mieter des
servers (irgend so ein gamer-Fuzzi) zu kontaktieren versucht, aber
bisher keine Reaktion. Mal sehen, ob der gamer im Telephonbuch steht;
er scheint es mit schriftlicher Kommunikation nicht so zu haben, sein
ergoogelter Eintrag in irgendein Forum spricht für einen halben
Analphabeten *g*

Hauptsache "er ist drin" ;-(

--
Viele Gruesse Klaus-Holger Trappe
(E-Mail hierauf verbleibt unbeachtet)

Thomas Gohel

2007-04-23 15:09:00 UTC

Permalink

Klaus-Holger Trappe meinte zum Thema "FTP Hack als user Administrator"

Hallo Klaus-Holger,

Post by Klaus-Holger Trappe
Es wird versucht den user Administrator mit ca. 999 Paßwörtern
anzumelden.

Ach, doch so wenig. :)

Post by Klaus-Holger Trappe
Ist etwas bekannt ob es ein "Virus" oder was-auch-immer ist?

Das passiert alle paar Tage, manchmal sogar tagelang, dann aber
jeder Versuch im Abstand von 30sek bis 3 min.

Tschau,

--------------
/ h o m a s

--
Kill-, Filter- und Scorefiles: Die modernen Schallschutzwaende des Usenet.

Ralph A. Schmid, dk5ras

2007-04-23 15:21:44 UTC

Permalink

Post by Thomas Gohel
Das passiert alle paar Tage, manchmal sogar tagelang, dann aber
jeder Versuch im Abstand von 30sek bis 3 min.

Ich habe immer etliche VErsuche pro Sekunde.

Thomas Gohel

2007-04-23 21:22:00 UTC

Permalink

Ralph A. Schmid, dk5ras meinte zum Thema "Re: FTP Hack als user Administrator"

Hallo Ralph,

Post by Ralph A. Schmid, dk5ras

Post by Thomas Gohel
Das passiert alle paar Tage, manchmal sogar tagelang, dann aber
jeder Versuch im Abstand von 30sek bis 3 min.

Ich habe immer etliche VErsuche pro Sekunde.

Das ist, wie bereits erwähnt, auch durchaus unterschiedlich.

... und Nein, NCC1701* ist als Passwort mit mindestens 8-Zeichen, Groß-
und Kleinschreibung, incl. Sonderzeichen, auch nicht sicher. Genauso-
wenig wie Babylon5-, Starwars-Begriffen oder Serien-, Schiffsnummern
aller Art, etc. ,-)

Tschau,

--------------
/ h o m a s

--
Kill-, Filter- und Scorefiles: Die modernen Schallschutzwaende des Usenet.

Klaus-Holger Trappe

2007-04-23 20:19:22 UTC

Permalink

Hallo,

Post by Thomas Gohel

Post by Klaus-Holger Trappe
Es wird versucht den user Administrator mit ca. 999 Paßwörtern
anzumelden.

Ach, doch so wenig. :)

Der FTP-Server begrenzt dies vermutlich.

Post by Thomas Gohel
Das passiert alle paar Tage, manchmal sogar tagelang, dann aber
jeder Versuch im Abstand von 30sek bis 3 min.

Oh jeh, ist wohl wie mit Werbemüll, einmal auf eine 'SPAMmer-CD'
drauf und man hat nie Ruhe.

--
Viele Gruesse Klaus-Holger Trappe
(E-Mail hierauf verbleibt unbeachtet)

Thomas Gohel

2007-04-23 21:24:00 UTC

Permalink

Hallo Klaus-Holger!

Post by Klaus-Holger Trappe

Post by Thomas Gohel
Das passiert alle paar Tage, manchmal sogar tagelang, dann aber
jeder Versuch im Abstand von 30sek bis 3 min.

Oh jeh, ist wohl wie mit Werbemüll,

Die Dienste werden einfach per IP gescannt, genauso wie die sturen
Einbruchsversuche über PHP/ASP/IIS/etc.-Schwachstellen über die
jeweilige reine IP-Adresse eintreffen, anstatt über die speziellen
virtuellen Hosts des Webservers.

Post by Klaus-Holger Trappe
einmal auf eine 'SPAMmer-CD' drauf

Zumindestens scheint es jetzt neue User/Passwort-Dateien zu geben und
die Versuche kommen in 10 und 20 Sekunden Abständen, um wohl nicht in
einen Brute-Force-Schutz des FTP-Servers bzw. des IDS zu laufen.

Tschau,

--------------
/ h o m a s

--
Der neue Internet Trend: Abstossende Postings! Verfasse die Mail in
HTML, niemals mit Realnamen, haenge immer das Original-Posting als
Fullquote an die Antwort, signiere alles konsequent mit einer Visiten-
karte und Du wirst reichlich die diversen Filter begluecken. :-)))))))

Rainer Zocholl

2007-04-23 20:19:00 UTC

Permalink

Also:
Generell würd ich sagen:
per whois den eigentümer der IP ausfindig machen und anschreiben,
er weiss i.d.R. nix von seinem "Glück".

Wenn's zu sehr nervt:
die IP-# "erden" ("route add b.o.e.s gw 127.0.0.1" oder so)
Das Teil kommt dann noch mal von einer anderen IP wieder,
auch erden, und dann ist und bleibt estmal Ruhe.

Dann gibt's da irgend ein nettes Script als Debian Paket, dessem
name mir entfallen ist, der im hosts.allow oder iptables solche
rechner erdet.
Allerdings ist das m.E. das "StFlorian"-Prinzip, wenn
man die Blacklists nicht auswertet und den Betreiber informiert.

Rainer