Angriffe auf eigenen Homeserver

[shadie]

Hallo Leute,

da ich nicht wusste wo das Problem einzuordnen ist habe ich es mal in die "Probleme Ecke" verschoben.

Ich betreibe einen FTP Server mit Filezilla, Portweiterleitung auf Port 21.

Seite heute morgen versuchen 2 IP Adressen auf den Server zuzugreifen.

78.39.217.89 / scheinbar aus dem Iran)
und
200.26.153.196 (Columbien)

Ich habe nun Autobann aktiviert, der bannt die IP nach 10 erfolglosen Loginversuchen für 48h.

Gibt es aber noch mehr Möglichkeiten mich vor so einem Angriff zu schützen?

Würde mich über Input freuen, kann mir nicht jeden Tag das FTP Log ansehen ...

 

[Incredible Alk]

Wenn du die einzige Person bist die auf den Homeserver zugreifen möchte und die Geräte mit denen du das tun willst statische IPs haben kannste schlichtweg alle IPs außer deinen eigenen komplett sperren und das wars.

Wenns ein mehr oder weniger nach außen offener Server sein soll willkommen in der Welt der Online-Probleme. Da gibts keine wirklichen Patentrezepte um sich zu schützen (was du momentan machst ist schon eine effiziente Methode). Das ist leider der Preis der schönen vernetzten Welt.

Das einzige was dich da sehr "unattraktiv" macht wären Einstellungen wie "nur ein Login-Versuch pro Minute erlaubt" + "nach 10 falschen Versuchen 3 Tage dicht" + sehr sicheres PW verwenden. Da weichen Attackierer schnell auf leichter knackbare Ziele aus.

 

[shadie]

Hmmm das wäre eine Idee aber mein IPhone bekommt denke ich immer neue IP´s.
Meine Eltern und meine kleine Schwester greifen von sich daheim auch drauf zu.
Die bekommen ja auch täglich neue Ip Adressen ...

habe mal nachgeschaut, fehlerhafte Loginversuche kann ich nicht weiter runter als 10, was ich jetzt noch machen konnte war die IP für 999 Stunden zu sperren statt nur 24

ich werde jedem User jetzt zusätzlich mal schwerere Passwörter verpassen (mindestens 20 Zeichen mit Groß und Kleinschreibung.
Das sollte es auch noch erschweren.

Echt ätzend, unter der IP aus Columbien laufen 4 websites mit der Adresse und alle 4 sind wohl schon bekannt dass Sie Botnetze usw nutzen.

Was bringt das diesen Leuten bitte?
Wer hat so großes Interesse an meinen Urlaubsfotos?

belasten tut´s den Server zudem ja auch gar nicht, also bekomme ich auch nicht wirklich einen Schaden davon ab

 

[Incredible Alk]

Was bringt das diesen Leuten bitte?
Wer hat so großes Interesse an meinen Urlaubsfotos?

Deine Fotos interessieren keinen. Es geht um
1.) Vergrößerung des Botnetzes durch Infiltration von Servern --> mehr Kapazität
2.) Stehlen von personenbezogenen Daten zum Verkauf
3.) Jackpot sind Leute die ihre Bankdaten/Kreditkartendaten usw. in einer TXT-Datei aufm Desktop liegen haben... und das ist keine Seltenheit.

Wenns wirklich ein BOT ist bringt dir "unattraktiv" auch nichts da der Bot da keinen Unterschied macht. In dem Falle wirklich 999 Tage sperren und fertig.

 

[rtf]

Kannst mal stark davon ausgehen, dass dein Server einfach mit in ein Botnetz integriert werden soll. Die Urlaubsfotos sind nur nett ansehnliche Features

Edit: zu spät

 

[Jimini]

Gibt es aber noch mehr Möglichkeiten mich vor so einem Angriff zu schützen?

FTP sollte man wie den SSHd nicht auf dem Standardport betreiben, sondern besser auf irgendeinen 5-stelligen Port setzen.
Da ich nicht weiß, welches OS du nutzt, gehe ich mal von Linux aus: fail2ban oder etwas ähnliches, wobei solche Lösungen auch wieder missbraucht werden können. Wenn du den reinen Zugriff noch weiter absichern willst, kannst du dich mal in Richtung Portknocking schlaulesen

Genau wie auf Port 22 wird auf Port 21 einfach standardmäßig nach unsicheren Passwort-Username-Kombinationen gesucht. Das ist schlichtweg ein Grundrauschen, gegen das man wenig machen kann. Die Verlagerung auf einen anderen Port sollte aber schonmal ausreichen.

MfG Jimini

 

[shadie]

FTP sollte man wie den SSHd nicht auf dem Standardport betreiben, sondern besser auf irgendeinen 5-stelligen Port setzen.
Da ich nicht weiß, welches OS du nutzt, gehe ich mal von Linux aus: fail2ban oder etwas ähnliches, wobei solche Lösungen auch wieder missbraucht werden können. Wenn du den reinen Zugriff noch weiter absichern willst, kannst du dich mal in Richtung Portknocking schlaulesen

Genau wie auf Port 22 wird auf Port 21 einfach standardmäßig nach unsicheren Passwort-Username-Kombinationen gesucht. Das ist schlichtweg ein Grundrauschen, gegen das man wenig machen kann. Die Verlagerung auf einen anderen Port sollte aber schonmal ausreichen.

MfG Jimini

Danke für den Tipp!

Ich habe einen anderen Port nun in Verwendung.
Auch nachdem ich nun den beiden Adressen nen Permabann verpasst habe kam kein Loginversuch mehr.


Verstehe diese menschen nicht.
Gibt es echt Leute die FTP Server mit PW1234 betreiben und Username Admin oder so was?

Ein 20 stelliges Passwort kann doch eigentlich gar nicht geknackt werden oder?
Die Textdatei mit Buchstaben Zahlen Sonderzeichen und dann noch groß und klein wäre doch viel zu lang?!
Dürfte dann ja mehrere Terrabyte groß sein.

Bankdaten sind alle im Kopf, da wird auch nix digitalisiert.

Wie kommen diese Leute eigentlich an meine No-ip adresse?!

 

[Research]

ODer dein WLAN über DHCP managen.
MAC-Filter helfen auch. Firewalls die alles Filtern was nicht 192 ist, auch.

Edit: 20 Stellen war vor über 5 Jahren sicher.

 

[Incredible Alk]

Gibt es echt Leute die FTP Server mit PW1234 betreiben und Username Admin oder so was?

Aber sicher... Zehntausende!

Ein 20 stelliges Passwort kann doch eigentlich gar nicht geknackt werden oder?
Die Textdatei mit Buchstaben Zahlen Sonderzeichen und dann noch groß und klein wäre doch viel zu lang?!

Kommt auf die Verschlüsselung an. Ein 20-stelliges DES oder WPA Passwort knackste in Sekunden.
Textdateien braucht dafür auch kein Mensch - wenn Bruteforce die Methode ist was du sicher meinst kann man die probierten PWs automatisiert erstellen, probieren, verwerfen - kein Speichern notwendig. Die Angriffe sind aber eher erweiterte DictionaryAttacks für die Massen da drauß0en, dieh als PW ihr Geburtsdatum, Adresse, den Name der Katze oder sostwie leicht zu erratende Dinge benutzen.

In einem haste Recht, ein Passwort wie "gz9/!h.xN+=jtsvHZ5%3°fm,9" knackt mit so nem Angriff niemand.

 

[shadie]

Bei Wlan habe ich nur 4 Geräte zugelassen die sich einwählen können.
Mein Handy, mein Laptop, handy Mum, handy Schwester
Alle anderen kommen nicht rein.

Firewall alles abschneiden was nicht 192. ist wird schwer bei nem FTP Server

Hmm ok habe mich da schon lange nicht mehr mit beschäftigt.
Habe mal den Code meiner Fritzbox verloren und wollte mich in meine eigene Box einhacken.
Das konnte ich trotz nur Zahlen komplett vergessen, 67 Terrabyte waren das glaube ich.

Aber wenn er ja jetzt immer für 999 Stunden gebannt wird dürfte der ja nie das 20 stellige PW knacken.

 

[Jimini]

Auch nachdem ich nun den beiden Adressen nen Permabann verpasst habe kam kein Loginversuch mehr.

Das sind meistens nur temporäre Lösungen - gerade bei diesen "populären" Ports kommt man meistens nicht hinterher mit dem Bannen. Mein Mailserver (welcher nicht zuhause, sondern bei einem Hoster steht), hatte pro Tag kurzzeitig SSH-Loginversuche im fünfstelligen Bereich, bis ich den Port wechselte.

Gibt es echt Leute die FTP Server mit PW1234 betreiben und Username Admin oder so was?

Siehe Die beliebtesten Passwörter 2013 - crn.de oder Die 25 beliebtesten Passwörter im Jahr 2012 - Update: Vergleich mit Passwörtern von 2010

Ein 20 stelliges Passwort kann doch eigentlich gar nicht geknackt werden oder?

Doch, jedes Passwort kann geknackt werden. Würde ich den Zugang zu deinem FTP-Server knacken wollen, würde ich allerdings nicht jedes Passwort und jeden Nutzernamen erraten (= brute forcen), sondern einfach die Verbindung zwischen Client und Server belauschen und die Kombination über eine Man-in-the-Middle-Attacke abgreifen. Das Problem an FTP ist nämlich, dass die Verbindung unverschlüsselt erfolgt (außer, man nutzt FTPs). Da kann man dann alle Daten schön im Klartext sehen.

Die Textdatei mit Buchstaben Zahlen Sonderzeichen und dann noch groß und klein wäre doch viel zu lang?!
Dürfte dann ja mehrere Terrabyte groß sein.

So groß auch wieder nicht, die nehmen einfach gängige Usernamen und Passwörter (s.o.).

Wie kommen diese Leute eigentlich an meine No-ip adresse?!

Über IP-Scans. Man kann mit einer normalen Anbindung binnen kürzester Zeit tausende von Systemen daraufhin checken, welche Ports offen und welche geschlossen / stealth sind.

ODer dein WLAN über DHCP managen.
MAC-Filter helfen auch. Firewalls die alles Filtern was nicht 192 ist, auch.

Aber das bringt ja nichts, wenn der Zugriff von außen ebenfalls gewährleistet sein soll

MfG Jimini

 

[shadie]

Doch, jedes Passwort kann geknackt werden. Würde ich den Zugang zu deinem FTP-Server knacken wollen, würde ich allerdings nicht jedes Passwort und jeden Nutzernamen erraten (= brute forcen), sondern einfach die Verbindung zwischen Client und Server belauschen und die Kombination über eine Man-in-the-Middle-Attacke abgreifen. Das Problem an FTP ist nämlich, dass die Verbindung unverschlüsselt erfolgt (außer, man nutzt FTPs). Da kann man dann alle Daten schön im Klartext sehen.

Das wäre aber ja dann schon ein gezielter Angriff und kein, ich bombardiere mal tausende verschiedener IP´s mit offenen Ports.
Da müsste man sich ja schon Zeit für nehmen und manchmal nutze ich den FTP Zugang auch tagelang nicht

Echt etwas bescheiden was man in der heutigen Zeit mit dem Netz für Sachen treiben kann.

Was ich bei Filezilla vermisse ist die Funktion, dass die IP Adressen nicht nur für 999 Stunden gebannt werden sondern einfach für immer, also Permabann.
Schade dass das nicht eingebaut wurde.


Gäbe es denn einen sicheren Weg als Filezilla auf meine Daten von unterwegs zuzugreifen?

 

[Jimini]

Das wäre aber ja dann schon ein gezielter Angriff und kein, ich bombardiere mal tausende verschiedener IP´s mit offenen Ports.

Ja sicher. Bruteforce ist halt schön automatisierbar, dafür rechen- und zeitaufwändig und relativ leicht abzuwehren.

Echt etwas bescheiden was man in der heutigen Zeit mit dem Netz für Sachen treiben kann.

Naja - ich würde es eher so sagen: früher (das FTP-Protokoll ist ja saualt) haben sich die Leute erschreckend wenig um die Absicherung ihrer Dienste gekümmert. Da reicht als Authentifikation die IP-Adresse und gut ist.

Was ich bei Filezilla vermisse ist die Funktion, dass die IP Adressen nicht nur für 999 Stunden gebannt werden sondern einfach für immer, also Permabann.
Schade dass das nicht eingebaut wurde.

Sowas würde ich dann auch über das Betriebssystem machen (welches nutzt du?). Du kannst aber wie gesagt davon ausgehen, dass das Nutzen eines anderen Ports die Zugriffsversuche drastisch einschränken wird.

Gäbe es denn einen sicheren Weg als Filezilla auf meine Daten von unterwegs zuzugreifen?

Beispielsweise über einen VPN-Tunnel und damit dann auf den FTP-Server. Oder du nutzt sowas wie OwnCloud - ich bin damit sehr zufrieden, nutze es aber auch nicht zum Dateiaustausch.

MfG Jimini

 

[shadie]

Ich nutze Windows Server 2012 mit antivir.
Als Router läuft eine Fritzbox 7330

Owncloud hatte ich auch mal, das soll sicherer sein ?
kann ich mir irgendwie gar nicht vorstellen.

Ja den Port habe ich schon mal verlagert, mal die nächsten par tage das Protokoll begutachten.
Bei den Eltern gebe ich heute Abend mal die neuen Passwörter ein, muss da eh vorbei.

 

[Jimini]

Owncloud hatte ich auch mal, das soll sicherer sein ?
kann ich mir irgendwie gar nicht vorstellen.

Wenn man das nur via HTTPS erreichbar macht, ist das schon recht sicher. Webserver sind halt nicht oft ein Ziel wie FTP-Server - sofern man die OwnCloud-Installation beispielsweise unter https://server.de/owncloud betreibt und nicht direkt auf der Startseite.

MfG Jimini

 

[Icephoen1x]

Selbst ein 10 stelliges passwort ist bei ftp nicht in lohnenswerter zeit knackbar. Mitm attacks lohnen da nur. Wenn du nach 10 versuchen sperrst ist das sicher. Wenn dir die logs auf die nerven gehen port wechseln.

Kleine Rechnung:
Bei 10 stellen gibt es 26 (kleinbuchstaben) + 26 (groß) + 10 + ca. 30 Sonderzeichen
Also insgesamt 92^10 mögliche passwörter.
Es gibt insgesamt 256^4 mögliche ips (einige fallen noch raus, also eigentlich noch weniger), die pro tag jeweils 10 pws probieren könnten (wenn ein botnet alle ips kontrollieren würde)

Teilt man die 92^10 durch 255^4*10 kommt man auf knapp eine milliarde tage die das botnetz brauchen würde alle pws durchzuprobieren. Also absolut unknackbar mit den standardeinstellungen.

 

[R4Z0R1911]

Du kannst die Platten doch auch Verschlüsseln und dennoch von überall drauf zugreifen, wenn deine NAS Live entschlüsseln kann...

 

[Jimini]

Du kannst die Platten doch auch Verschlüsseln und dennoch von überall drauf zugreifen, wenn deine NAS Live entschlüsseln kann...

Versehentlich den falschen Thread erwischt?
Festplattenverschlüsselung wird hier nichts bringen.

MfG Jimini

 

[shadie]

Du kannst die Platten doch auch Verschlüsseln und dennoch von überall drauf zugreifen, wenn deine NAS Live entschlüsseln kann...

Dann kommt der "Hacker" doch trotzdem noch über FTP ran?!
Wenn ich die Platten mit Truecrypt verschlüssel ändert das ja nix, dass man mit Anmeldename und PW an die Daten kommt oder liege ich da grad falsch?

 

[Jimini]

Dann kommt der "Hacker" doch trotzdem noch über FTP ran?!
Wenn ich die Platten mit Truecrypt verschlüssel ändert das ja nix, dass man mit Anmeldename und PW an die Daten kommt oder liege ich da grad falsch?

Ne, ist schon richtig. Festplattenverschlüsselung bringt nur solange was, bis der Schlüssel eingegeben wurde, danach kann jeder, der Zugriff auf das System hat, auch an die Daten.

MfG Jimini