fail2ban und proftpd

[Babelduo]

hallo,


ich benutze fail2ban da ich sehr viele angriffe auf meinen SSH-Service hatte. Klappt perfekt.
Nun wollte ich das gleiche für proftpd einrichten. aber es funktioniert einfach nicht.

Ich müsste eig alles richtig eingestellt haben oder?


jail.conf

Code: Alles auswählen

[proftpd]

enabled  = true
port     = ftp
filter   = proftpd
logpath  = /var/log/auth.log
#logpath  = /var/log/proftpd.auth_log // auch scon ausprobiert
maxretry = 6

proftpd.auth_log

Code: Alles auswählen

paris079:~# tail /var/log/proftpd.auth_log 
ProFTPD [21993] 124.40.28.93 [25/Nov/2008:14:53:28 +0100] "USER web100" 331
ProFTPD [21994] 124.40.28.93 [25/Nov/2008:14:53:29 +0100] "USER web100" 331
ProFTPD [21994] 124.40.28.93 [25/Nov/2008:14:53:29 +0100] "PASS (hidden)" 530
ProFTPD [21994] 124.40.28.93 [25/Nov/2008:14:53:29 +0100] "USER web100" 331
ProFTPD [21994] 124.40.28.93 [25/Nov/2008:14:53:30 +0100] "PASS (hidden)" 530
ProFTPD [21994] 124.40.28.93 [25/Nov/2008:14:53:30 +0100] "USER web100" 331
ProFTPD [21995] 124.40.28.93 [25/Nov/2008:14:53:31 +0100] "USER web100" 331
ProFTPD [21995] 124.40.28.93 [25/Nov/2008:14:53:31 +0100] "PASS (hidden)" 530
ProFTPD [21995] 124.40.28.93 [25/Nov/2008:14:53:31 +0100] "USER web100" 331
ProFTPD [21995] 124.40.28.93 [25/Nov/2008:14:53:32 +0100] "PASS (hidden)" 530

auth.log

Code: Alles auswählen

paris079:~# tail /var/log/auth.log | grep proftpd
Nov 25 14:53:27 paris079 proftpd[21993]: paris079.server4you.de (124.40.28.93[124.40.28.93]) - no such user 'web100' 
Nov 25 14:53:27 paris079 proftpd[21993]: paris079.server4you.de (124.40.28.93[124.40.28.93]) - USER web100: no such user found from 124.40.28.93 [124.40.28.93] to 85.25.20.79:21 
Nov 25 14:53:28 paris079 proftpd[21993]: paris079.server4you.de (124.40.28.93[124.40.28.93]) - no such user 'web100' 
Nov 25 14:53:28 paris079 proftpd[21993]: paris079.server4you.de (124.40.28.93[124.40.28.93]) - USER web100: no such user found from 124.40.28.93 [124.40.28.93] to 85.25.20.79:21 
Nov 25 14:53:28 paris079 proftpd[21993]: paris079.server4you.de (124.40.28.93[124.40.28.93]) - Maximum login attempts (3) exceeded 
Nov 25 14:53:28 paris079 proftpd[21993]: paris079.server4you.de (124.40.28.93[124.40.28.93]) - FTP session closed. 
Nov 25 14:53:29 paris079 proftpd[21994]: paris079.server4you.de (124.40.28.93[124.40.28.93]) - USER web100: no such user found from 124.40.28.93 [124.40.28.93] to 85.25.20.79:21 
Nov 25 14:53:30 paris079 proftpd[21994]: paris079.server4you.de (124.40.28.93[124.40.28.93]) - no such user 'web100' 
Nov 25 14:53:30 paris079 proftpd[21994]: paris079.server4you.de (124.40.28.93[124.40.28.93]) - USER web100: no such user found from 124.40.28.93 [124.40.28.93] to 85.25.20.79:21 
Nov 25 14:53:30 paris079 proftpd[21994]: paris079.server4you.de (124.40.28.93[124.40.28.93]) - no such user 'web100' 
Nov 25 14:53:30 paris079 proftpd[21994]: paris079.server4you.de (124.40.28.93[124.40.28.93]) - USER web100: no such user found from 124.40.28.93 [124.40.28.93] to 85.25.20.79:21 
Nov 25 14:53:30 paris079 proftpd[21994]: paris079.server4you.de (124.40.28.93[124.40.28.93]) - Maximum login attempts (3) exceeded 

danke schonmal!


babel

[Duff]

Kenne mich zwar nicht damit aus, aber laut der Fehlermeldung, scheint proftpd den user web100 nicht finden zu können.
Existiert der User denn?

[ckoepp]

Jaja...mein Lieblingsthema. Der Vollständigkeit halber sei auf die Gefahren von fail2ban hingewiesen.

Alternative mit mehr Sicherheit - gerade für Leute die keine RegExp selbst schreiben können sehr sehr sinnvoll:
proftpd parallel (!) in eine Datenbank loggen lassen, mit cronjob und SQL die Angreifer herausziehen und anhand dieser Daten saubere iptables generieren.
So machen's übrigens auch die ISP's Die sperren in der Regel nix, aber senden abuse-Mails raus usw.


Neben den sauberen Datentypen hast Du damit auch mehr Freiheiten für die Auswertung der Daten. Der Phantasie sind keine Grenzen gesetzt

Edit:
Was Du da in deinen logs siehst, ist eigentlich das normale Hintergrundrauschen. Da probiert einer für nen Tag BruteForce bei einem nicht-existierenden User aus
Proftpd hat auch selbst Instrumente an Bord um solche Dinge zu verhindern: mod_ban sei dir hier ans Herz gelegt

[Babelduo]

Alternative mit mehr Sicherheit - gerade für Leute die keine RegExp selbst schreiben können sehr sehr sinnvoll:
proftpd parallel (!) in eine Datenbank loggen lassen, mit cronjob und SQL die Angreifer herausziehen und anhand dieser Daten saubere iptables generieren.
So machen's übrigens auch die ISP's Die sperren in der Regel nix, aber senden abuse-Mails raus usw.

das hört sich interessant an. wollte mich eh mal ein wenig mehr mit scripten beschäftigen - da wär das doch mal ein ziel

hätte garnicht daran gedacht das man fail2ban auch ausnutzen könnte mit manipulierten packeten. aber man lernt immer dazu.

nett fand ich auch diese direkt iptables lösung:

Code: Alles auswählen

iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH
iptables -A INPUT -p tcp --dport 22 -m recent --update --seconds 60 --hitcount 4 --rttl --name SSH -j LOG --log-prefix "SSH_brute_force "
iptables -A INPUT -p tcp --dport 22 -m recent --update --seconds 60 --hitcount 4 --rttl --name SSH -j DROP

ich denke und hoffe es wird auf die oben beschriebene manuelle lösung bei mir hinauslaufen.


gruß, babel

[Duff]

Habe dieses iptables Skript auch zuerst verwendet. Benutze nun dieses hier für ssh

Code: Alles auswählen

$IPTABLES -A INPUT -i $INET_IFACE -p tcp --dport 22 -m hashlimit --hashlimit 1/min --hashlimit-mode srcip --hashlimit-name SSH -m state --state NEW -j ACCEPT