Vsftpd Zabezpieczenie Przed Brute Force

[samba]

Od dłuższego czasu widzę w logach niepokojące próby ataków brute force w logach vsftpd

Wed Apr  7 02:04:30 2010 [pid 18742] [administrador] FTP response: Client "124.207.138.134", "530 Permission denied."
Wed Apr  7 02:04:30 2010 [pid 18742] FTP command: Client "124.207.138.134", "USER administrador"
Wed Apr  7 02:04:30 2010 [pid 18742] [administrador] FTP response: Client "124.207.138.134", "530 Permission denied."
Wed Apr  7 02:04:31 2010 [pid 18742] FTP command: Client "124.207.138.134", "USER administrador"
Wed Apr  7 02:04:31 2010 [pid 18742] [administrador] FTP response: Client "124.207.138.134", "530 Permission denied."
Wed Apr  7 02:04:31 2010 [pid 18742] FTP command: Client "124.207.138.134", "USER administrador"
Wed Apr  7 02:04:31 2010 [pid 18742] [administrador] FTP response: Client "124.207.138.134", "530 Permission denied."
Wed Apr  7 02:04:31 2010 [pid 18742] FTP command: Client "124.207.138.134", "USER test"
Wed Apr  7 02:04:31 2010 [pid 18742] [test] FTP response: Client "124.207.138.134", "530 Permission denied."
Wed Apr  7 02:04:32 2010 [pid 18742] FTP command: Client "124.207.138.134", "USER test"
Wed Apr  7 02:04:32 2010 [pid 18742] [test] FTP response: Client "124.207.138.134", "530 Permission denied."
Wed Apr  7 02:04:32 2010 [pid 18742] FTP command: Client "124.207.138.134", "USER test"
Wed Apr  7 02:04:32 2010 [pid 18742] [test] FTP response: Client "124.207.138.134", "530 Permission denied."
Wed Apr  7 02:04:32 2010 [pid 18742] FTP command: Client "124.207.138.134", "USER test"
Wed Apr  7 02:04:32 2010 [pid 18742] [test] FTP response: Client "124.207.138.134", "530 Permission denied."

 

Jakich programów/zabezpieczeń używacie aby pozbyć się takich zdarzeń ?

Czytałem o psad psad security ale nie jestem pewien czy on potrafi zareagować tj odciąć intruza / połączenie do mojego serwera.

 

Jakich rozwiązań używacie i co byście polecili ?

 

Pozdrawiam

 

[ra-v]

Zapinguj hosta na śmierć

 

124.207.138.134 - zablokuj tego śmiecia i po sprawie. A jak masz dobre hasło to się nie przejmuj, przez 100 lat go nie złamie bo to matematycznie niemożliwe.

[Gość]

Zastanów się czy potrzebny ci FTP. Jeżeli tak, to czy koniecznie otwarty dla wszytkich? Może wystarczyło by na firewallu otworzyć go tylko dla twoich "klientów".

[cineks]

Witam!,

może coś takiego zabezpieczenie przed skanowaniem

[dither]

Ja korzystam z skryptu denyhost dla ssh'a - po 5 próbach host dodawany jest do listy zablokowanych. Nie wiem czy działa z ftp, ale z sftp tak.

[samba]

Ja korzystam z skryptu denyhost dla ssh'a - po 5 próbach host dodawany jest do listy zablokowanych. Nie wiem czy działa z ftp, ale z sftp tak.

Ja też używam denyhost dla ssh w sumie to dobry pomysł aby użyć tego narzędziarza do ftp tylko czy się da ?? Wie ktoś bo nie próbowałem ? Zezwolenie wejścia z danego IP (rozumiem że chodzi o wpuszczenie na iptables danych IP nie wchodzi w grę bo nie znam wszystkich adresów klientów a one się zmieniają)

nie wchodzą w grę.

 

Pozdrawiam

[dj_oko]

To atak z Chin. Mój FTP znosi coś takiego średnio raz na 2, 3 dni. Jest jeszcze drugi IP, który to robi. Zgłaszałem abuse - nic to nie dało.

Jeżeli masz mocne hasło, to jedyny problem, jak to stanowi, to przepełnienie authloga. W zależności od tego, kto użwa tego FTP, możesz zawsze rozważyć przestawienie portu nasłuchu, na jakiś chory, na przykład 7777.