Oct
08
Como bloquear el acceso al Ftp de Proftpd
Archivado en la categoria Linux, Sec-Info el dia 8-Octubre-2007

Vaya vaya, esta noche cuando me he sentado delante de mis cacharritos me he dado cuenta que tenia una transferencia continua de datos al mirar mi router. He estado investigando que pasaba y me he encontrado que todo el trafico estaba dirigido hacia mi server.
La sorpresa me la he llevado cuando me he conectado ha mi server y he esnifado todo el trafico entrante y saliente con la utilidad ( ettercap ), viendo a tiempo real que estaban haciendo he visto que estaban usando un diccionario de nombres contra mi servidor ftp ( Proftpd ).

La ip que me estaba lanzando el ataque es esta 116.112.63.3 y al ponerla en el navegador veremos como sale la imagen de una web china, no tengo ni idea que intentan pero está claro que no les iba a dejar que probaran de hacer nada mas, de este modo he tomado las respectivas medidas.

Como lo que quieren hacer es hackearme el servidor ftp con un ataque al estilo ( Brute Force ) lo mejor es bloquear directamente la ip del atacante.

En mi caso tengo el servidor ftp ( Proftpd ) en una distro Linux Gentoo aunque creo que el funcionamiento de este programa es similar en casi todas las distros.

Nos logeamos como root con el comando ( su ) y comenzamos ….

Editamos el archivo de configuración de ( Proftpd ) …..

vi /etc/proftpd/proftpd.conf

e insertamos las siguientes lineas al final del archivo …

< Limit LOGIN >
Order deny,allow
Deny from 116.112.63.3
Allow from all
< /Limit >

Con está regla lo que hacemos es decirle que queremos que nos admita todas las ips y denegamos la 116.112.63.3 que es la del chino que me está atacando.

Una vez configurado a tu gusto salimos del editor con ( :wp! ) y reiniciamos el ( Proftpd ) con

/etc/init.d/proftpd restart

Apartir de ahora, cuando se quiera conectar esa ip a nuestro server ftp no podrá y así dejara de tocarnos las narices. ;)

Compártelo

   Leer mas ...       Imprimir artilulo

¡ No te lo pierdas !

Comentarios:
Gravatar N0xTrUm 8th Octubre, 2007 a las 4:38

Al final va a haber que tener un par de ojos extras para todo, porque madre mía…

Por cierto, si alguien sabe chino, podría decirnos a que se dedican en http://www.eyou.com/ xD


Gravatar forat 8th Octubre, 2007 a las 4:57

Si jeje, suelo ser bastante paranoico para estas cosas y no es la primera vez que he tenido un ataque.

Eso eso que alguien se anime y nos diga de que va esa web.

Un saludo.


Gravatar Sr. Juacko 8th Octubre, 2007 a las 10:20

De hecho, lo más probable es que esa web tenga (o haya tenido) un servidor web vulnerable y alguien se haya colado y maneje utilidades remotamente. Los chinos seguramente ni se enteran.


Gravatar sin miedo 8th Octubre, 2007 a las 10:41

Parece ser que los chinos están muy activos en estos menesteres, ya leí últimamente bastantes reportes sobre hechos de este tipo iniciados desde China.
Y sino que se lo pregunten a Google que ha tenido de bloquear bastantes identidades chinas.


Gravatar manwy 8th Octubre, 2007 a las 13:26

Yo, cuando en mi ordenador tenía un servidor ssh y otro ftp, no paraba de recibir ataques en ambos. La solución fué usar denyhosts, un programa que detecta las IPs que intentan loguearse con un determinado número de fallos y las bloquea añadiendolas al archivo hosts.deny


Gravatar forat 8th Octubre, 2007 a las 15:00

Es curioso, al introducir la ip de la maquina que te está atacando lo que se puede llegar a ver.

En varias ocasiones he tenido este tipo de problema y al poner la ip en el navegador me he llegado a encontrar de todo. Desde webs chinas hasta la web test que pone el apache por defecto. También aveces me he encontrado con alguna web en plan ( juanker ) con utilidades y tonterias.

Muchas veces estos ataques suelen estar hechos para maquinas que funcionan sobre un windows, así que me da de pensar que es el tipico chaval que empieza a esto y juega con programillas de windoce.


Gravatar Miguel 8th Octubre, 2007 a las 21:36

A ti te van a atacar jejejejejejejje un saludo pelucas. Un impaciente esperando su iniciacion en linux


Gravatar forat 8th Octubre, 2007 a las 21:44

hahahaha time to time Miguel ;)

Un saludo compi


Gravatar ElPerro 10th Octubre, 2007 a las 14:03

Ok…es una buena forma de limitar los ataques desde una IP especifica. Pero, si el usuario usa IP dinamica?
Debes limitar la cantidad de intentos de logueo al FTP para que no sea posible un brute force.

Saludos.


Gravatar forat 10th Octubre, 2007 a las 23:03

Ok ElPerro gracias por tu aportación al how to ;)

Un saludo.


Gravatar nunacho 16th Noviembre, 2007 a las 19:52

Navegando por internet me he topado con este sitio que esta bastante bueno.
Con respecto al tema si lo que deseabas bloquear era un direccion ip lo podrias haber echo con una regla de iptables, seria algo asi:
iptables -t filter -A INPUT -i eth0 -p tcp –dport 21 -s 116.112.63.3 -j DROP


¿ Tienes algo que decir ?
Nombre: 
Email: 
URL: