FTPサーバーへのブルートフォース攻撃
私は最近、FTP経由でファイルを共有するためにVSFTPDを個人用サーバーにセットアップしました。 vsftpd.logファイルで、「adminitrator」、「adminitrator1」、「adminitrator2」、「adminitrator123」などのユーザー名でログインしようとして何百回も失敗したことがわかります。
私は自分のFTPサーバーをセットアップしただけで、その存在について誰も知らないだろうと思ったので、私は驚いています。 FTPサーバーが存在することは誰にも伝えませんでした。
ポートスキャンツールを使用すると、FTPポートが開いていることがわかります。しかし、私はどのようにして自分のIPを取得したのでしょうか。
トレントファイルをダウンロードしましたが、IPアドレスが公開されますか?
攻撃者がトレントトラッカーまたはその他のサービスからIPアドレスを取得することはよくあることですか?攻撃者がどのようにしてIPアドレスを取得するか考えていますか? (スパミングのように-スパムボットはメールIDを収集するために使用されます)
新人がサーバーを保護するための一般的な指針(本、ビデオ、チュートリアル、ブログなど)
どのようにしてIPを取得したかを知る必要はありません-インターネット全体が悪意のある個人やボットなどによって常にスキャンされています。インターネット上にFTPサーバーがある場合、これらのスキャンの1つがそれを検出し、攻撃の試みが始まります。
あなたの欠点は-FTPサーバーを保護できないことです。 FTPは、暗号化や強力な認証を提供するように設計されていないため、廃止されました。
これをSFTPなどの安全な代替手段の1つに置き換えるか、SSH経由でのみアクセスできるようにすることをお勧めします。良い点は-SFTPはほとんどのオペレーティングシステムでほぼ完全に置き換えられることです。
Update-実際には、vsftpdを使用しているため、ftpを構成して認証と暗号化を追加できます。チェックアウト http://viki.brainsware.org/?en/Explicit_FTPS
あなたができる別のことはiptablesの「ブルートフォース」ルールを追加することです。これにより、IPが新しい接続を作成できるようになりますxy秒以内の回数。これらの制限に達した後、パケットはドロップされます。これにより、ブルートフォースがサーバーを継続的に攻撃するのを防ぎます。 FTP、SSH、IMAP、POP3、SMTPなどの一般的なスキャン済みポートでこのような保護を行っています...
私が使用するルールの例:
iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --set --name BRUTEFORCE
iptables -A INPUT -i eth0 -p tcp --dport 21 -m state --state NEW -m recent --set --name BRUTEFORCE
iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 8 --rttl --name BRUTEFORCE -j DROP
脆弱なホストを探してインターネットをトロールするプログラムがたくさんあります。確かに、攻撃を狙う人はいますが、急流のログから始めても、非常に興味深い標的にはなりません。
サーバーを保護するための基本的なチェックリストについては、 sans.org サイトをご覧ください。