1. Forum używa plików Cookies. Dowiedz się więcej o celu ich używania i możliwości zmiany ustawień Cookies w przeglądarce. Czytaj więcej...

ROZWIĄZANE Atak metodą Brute Force na serwer przez FTP

Dyskusja w 'Hosting Business Cloud' rozpoczęta przez użytkownika darek12, 11 Kwiecień 2017.

  1. darek12

    darek12 Początkujący

    Wiadomości:
    8
    Docenione treści:
    0
    Moje konto jest na okrągło atakowane przez boty, które metodą Brute Force próbują zalogować się przez FTP. Dowiedziałem się o tym przypadkowo, gdy zablokowało mi dostęp przez FTP i pojawił się komunikat:
    "Brute-force limit for server address exceeded.
    Please suppress any login attempts for a while and try again later."

    Napisałem do pomocy technicznej i poradzili mi, abym zablokował na 2 godziny dostęp przez FTP i po tym zabiegu faktycznie konto zostało odblokowane.
    Jednaj nadal na okrągło co minutę mam próbę logowania. IP pochodzą z Chin, Tajwanu, Rosji, Niemiec, Indii i wielu innych krajów. Próbują się logować na konto główne i konta do poszczególnych stron, mimo, że nie mam na niektórych z nich nawet utworzonego osobnego konta FTP.
    Zmieniłem hasło na bardziej skomplikowane. Dodatkowo całkowicie zablokowałem dostęp przez FTP.
    Mimo to nadal konto jest atakowane przez boty.
    Obawiam się, że tą metodą w końcu po długim czasie mogą odgadnąć moje hasło.
    Oprócz tego jest znowu ryzyko zablokowania dostępu przez FTP.
    Jak można się pozbyć tych botów?
    Czy można zablokować FTP dla IP z poza Polski?
     
  2. LorK

    LorK Zdobywca

    Wiadomości:
    826
    Docenione treści:
    81
    Dobre pytanie. Sam zastanawiałem się jak to zabezpieczyć.
     
  3. Adam

    Adam Social Media home.pl home.pl Administrator forum

    Wiadomości:
    248
    Docenione treści:
    72
    Cześć,

    Ataki typu brute force są bardzo specyficzne, charakteryzuje je częstotliwość (stąd nazwa) i zawziętość. Nasze serwery współdzielone posiadają odpowiednie zabezpieczenia, które po kilku nieudanych próbach w krótkim czasie (mowa tutaj o sekundach) blokują administracyjnie dostęp do FTP dla tego IP na kilka minut.
    Podstawą w ochronie swojego konta jest przede wszystkim stworzenie loginu i hasła, które byłyby trudne do zgadnięcia przez boty. Warto unikać takich prefixów jak admin@, administrator@, ftp@, user@ itp. + stworzyć niesłownikowe, silne hasło złożone z minimum 8 (a najlepiej 12) znaków z uwzględnieniem małej, wielkiej litery oraz znaku specjalnego.

    To, co jeszcze warto zrobić to NIE ZAPISYWAĆ hasła w programach do połączeń FTP. Wiem, będzie to trudne, ale zmniejszy ryzyko. Warto też - zgodnie z sugestią od naszych administratorów - wyłączyć dostęp FTP dla głównego użytkownika, przynajmniej na jakiś czas. Jeżeli Twój serwer nazywa się serwer123456 to bot zazwyczaj spróbuje w pierwszej kolejności złamać hasło do tego konta. To samo zrób dla anonymous FTP.

    Blokadę dla konta głównego i anonimowego możesz wykonać z poziomu panelu i opcji "Blokuj FTP":

    wqer34t3.jpg
     
  4. TheL

    TheL @Lider VIP Moderator forum

    Wiadomości:
    2 221
    Docenione treści:
    481
    a ja uważam, że warto zablokować sobie całkowicie FTP, zawsze można się łączyć przez SCP :)
     
  5. LorK

    LorK Zdobywca

    Wiadomości:
    826
    Docenione treści:
    81
    a ja uważam, że Home nie jest na to jeszcze gotowe.

    W Twoim rozwiązaniu jest taka wada (o której już gdzieś na forum pisałem), że albo dostęp po SSH mam tylko albo CI którzy mają mogą latać po całym koncie lub tylko po katalogu public_html.

    Dobrą praktyką jest zablokowanie dostępu FTP dla konta głównego i założenie konta, które ma dostęp ale nie powinno to być konto pocztowe, do którego hasło mamy zapisane w przeglądarce/programie pocztowym.
     
    Mariusz lubi to.
  6. TheL

    TheL @Lider VIP Moderator forum

    Wiadomości:
    2 221
    Docenione treści:
    481
    ja tam zawsze łączę się przez scp, wiem jakie to ma wady, ale zalety tego rozwiązania w moim przypadku są większe.
     
  7. darek12

    darek12 Początkujący

    Wiadomości:
    8
    Docenione treści:
    0
    Czy można zablokować dostęp FTP dla IP z innych krajów niż Polska?

    Nadal cały czas są próby logowania przez FTP.
    Po zablokowaniu FTP głównego konta i anonymous, boty próbują logować się do subkont FTP, których ja wcale nie utworzyłem. Nie wiem skąd znają strukturę katalogów na koncie i jakie strony są pod niego podpięte. bo próbują loginy takie jak nazwy stron.
     
  8. TheL

    TheL @Lider VIP Moderator forum

    Wiadomości:
    2 221
    Docenione treści:
    481
    ja bym sprawdził serwer czy nie masz tam jakiegoś dziwnego kodu, wygląda na to, że coś może przekazywać strukturę na zewnątrz.
     
  9. LorK

    LorK Zdobywca

    Wiadomości:
    826
    Docenione treści:
    81
    podpowiedz więcej :) jak tego dokonać? Osobiście nie widzę opcji by przeglądać wszystkie katalogi ręcznie by szukać "trojana". Można wygrepować logi serwera WWW, tutaj kilka pomysłów:
    * IP (lub klasa adresów) z logów FTP i poszukać czy się powtarzają w logach serwera WWW; potem sprawdzić jaki plik requestują, spawdzić pliki z tej listy
    * wygrepować wszystkie req HTTP, posortować po ilości odwiedzin, usunąć z listy media (obrazki, muzyka, filmy), kod statyczny (CSS, HTML) i sprawdzić czy tu nie ma "winnych".

    Ewentualnie, chyba w panelu serwera można sprawdzić statystyki req dla WWW.

    Chyba, że zwyczajnie zenumerowali nazwę konta/serwera i teraz szukają hasła.

    @darek12 nie robiłeś interesów biznesowych z tamtymi krajami? Może podpadłeś komuś? ;)
     
  10. darek12

    darek12 Początkujący

    Wiadomości:
    8
    Docenione treści:
    0
    Adresy IP pochodzą z całego świata, nie ma miedzy nimi nic wspólnego. Moje strony są głownie robione w czystym HTML-u, w wyjątkiem jednego WordPressa nie ma na nich logowania przez WWW. Sprawdzałem też daty plików nie widzę nic nowego, czyli na razie nikt nie wszedł na konto. Pewnie do póki mam zablokowane FTP to nikt nie wejdzie, tylko to bardzo uciążliwe, tak każdorazowo odblokowywać :(
     
  11. LorK

    LorK Zdobywca

    Wiadomości:
    826
    Docenione treści:
    81
    tak profilaktycznie: WP aktualne? Wtyczki też są aktualne? Nie używasz jakiś dziwnych wtyczek? Nie masz gdzieś ustawionego w htaccesie, by HTML był interpretowany? No może za bardzo wczułem się w to co napisał @TheL .

    powiem tak, że możesz zalogować się na konto główne używając dowolnej domeny, która jest podpięta do tego serwera. Musisz podać jedynie nazwę serwera i hasło.
    Jeśli używają innych domen i logują się podając nazwę Twojego serwera to przeskanuj sobie komputer dwom programami AV (najlepiej takimi, które pochodzą z różnych rejonów świata, np. ESET + Kaspersky).
     
  12. casar

    casar Czempion

    Wiadomości:
    306
    Docenione treści:
    98
    Taka mała dygresja ode mnie: czasami źródłem takiego ruchu są linki typu ftp:// w kodzie strony, zaindeksowane przez wyszukiwarki, przez co boty je wywołują.
     
    Mariusz lubi to.
  13. darek12

    darek12 Początkujący

    Wiadomości:
    8
    Docenione treści:
    0
    Minęło 5 miesięcy i nic się nie zmieniło. Dokładnie co 3 minuty, na okrągło, mam próbę logowania na serwer FTP. Próby są z różnych krajów na całym świecie.
    Ręcznie każdorazowo blokuję i odblokowuję dostęp do FTP w panelu administracyjnym. Jeśli tego nie zrobię to dostęp FTP jest zablokowany z powodu wielokrotnej próby logowania metodą Brute Force.
    To bardzo utrudnia korzystanie z serwera.
    Czy administratorzy nie mogą zrobić jakiegoś zabezpieczenia systemowego, np. zablokować dostęp z IP z poza Polski. Tak jest na innych serwerach, dlaczego w HOME.PL nie ma takiej możliwości?
     
  14. Grzesiek

    Grzesiek BOK home.pl home.pl Administrator forum

    Wiadomości:
    3 135
    Docenione treści:
    298
    QA-44724 wystawiłem zgłoszenie, sprawdzę co mogę Ci odpisać tutaj w tym temacie. Czy wysyłałeś jakieś dodatkowe zgłoszenia do nas? jeśli tak podaj numer sprawy.
     
  15. darek12

    darek12 Początkujący

    Wiadomości:
    8
    Docenione treści:
    0
    Pisałem w tej sprawie: 2017-04-09 - KRRB-34219-871 konto: staczek_eu
     
  16. IT.PStudio

    IT.PStudio Nowy użytkownik

    Wiadomości:
    1
    Docenione treści:
    0
    Mamy dokładnie taki sam problem. Nie możemy nawiązywać połączeń ani przez główne konto, ani przez każde dowolne konto FTP założone na jednym z serwerów. W każdym przypadku zgłasza się komunikat: Brute-force limit for server address exceeded.

    Zgłaszaliśmy problem: YNBV-42572-777

    Sytuacja trwa co najmniej od piątku, kiedy zauważyliśmy ten problem.
    W piatek (8.09.) zrobiliśmy blokadę dostępu do serwera FTP dla głównego konta (tak jak tutaj proponujecie) - dziś (11.09., czyli po 3ch dniach) odblokowaliśmy żeby sprawdzić, czy coś się zmieniło, ale problem nadal istnieje.

    Może faktycznie jakaś blokada na IP spoza Polski by pomogła? bo czekanie aż 'atak' ustanie jest wyjątkowo nieporęczne - nie możemy pracować na danym serwerze.
     
  17. Mariusz

    Mariusz BOK home.pl home.pl Administrator forum

    Wiadomości:
    2 933
    Docenione treści:
    295
    @IT.PStudio @darek12 sprawdziłem podane przez was numery wątków w naszym Biurze Obsługi Klienta. Widzę, że kontynuujecie te tematy za pomocą korespondencji mailowej. Proszę kontynuować te wątki z naszym Biurem Obsługi Klienta, gdzie będą mogli zaproponować rozwiązanie wskazanych przez was sytuacji.
     

Poleć forum znajomym