Træt af hacking på ftp side

modangreb er ligeså ulovlige som angreb.
Du risikerer blot at din egen ISP lukker din forbindelse
Jeg er iøvrigt heller ikke sikker på at dit spm er under ekspertens etik

Nu har du vel en firewall og har blokeret "hackeren" ..?

Ignorer det. Det er bare bots der leder efter åbne ftp'er. Hvis der var bare et gram af seriøsitet bag det, ville du ikke vide det før det var for sent alligevel.

squashguy: Så du har altså ikke den fjerneste ide om hvad en firewall gør?

eriksen>hvis han har problemer med en bestemt ip, kan en firewall sættes op til at spærre trafikken fra denne, inden den nogen sinde når ftp'en.. jo jeg ved godt hvad en firewall er og hvordan den virker.

"Så du har altså ikke den fjerneste ide om hvad en firewall gør?"

det var dog egentlig også en flabet måde at skrive det på...

squashguy: Snup en tudekiks

a_eriksen, tal pænt - tak.

jo jeg har spærret ip'en men der dukker jævnligt nye ip'er i loggen. (dog kun spærret i IIS'en). Men det kan da ikke være rigtigt at man bare kan vente på at én af disse bots finder den rigtige kombination eller hva?? Hvor effektive er de bots?

De er ikke effektive, som sagt. De scanner kun efter anonymous ftp eller kendte guest konti med upload adgang.

Er det ikke ulovligt at lave disse scanninger?
Desuden  er det ikke kun anonymous og guest konti der forsøges med, men derimod en masse forskellige brugernavne. Ex.
2003-10-26 17:59:12 80.184.243.219 administrator MSFTPSVC1 SRV1 192.168.0.30 21 [511]USER administrator - 331 0 0 0 0 FTP - - - -
2003-10-26 17:59:12 80.184.243.219 - MSFTPSVC1 SRV1 192.168.0.30 21 [511]PASS - - 530 1326 0 0 20 FTP - - - -
2003-10-26 17:59:22 80.184.243.219 informix MSFTPSVC1 SRV1 192.168.0.30 21 [512]USER informix - 331 0 0 0 0 FTP - - - -
2003-10-26 17:59:22 80.184.243.219 - MSFTPSVC1 SRV1 192.168.0.30 21 [512]PASS - - 530 1326 0 0 0 FTP - - - -

Hvis det "bare" er en privat FTP server som kun du og få andre bruger bør du måske overveje at skifte din FTP-server til en anden port?
Nogle scripts (mit gæt er de fleste) søger nemlig kun på default ports...

Findes der mon ikke et program (freeware) der kan analysere ens logs og bare fortælle en lige det man har lyst til at vide... Så er man da fri for at sidde og kigge på endeløse logfiler hvor den samme IP prøver at connecte utallige gange... Og kan man ikke sætte FTP-serveren op til automatisk at rejecte IP efter 5 gentagne fejlende forsøg inden for de sidste 2 min.? Det ville ellers være en udemærket funktion...

Du siger noget meget fornuftigt der. Det med at rejecte efter f.eks. 5 forsøg inden for et tidsrum. Nogen der ved om det kan lade sig gøre og evt. hvordan på en IIS server?

Eftersom vi kører Linux hos mig så ville jeg lave et script der læste i logfilerne, hvis den fandt en ip et vist antal gange osv. så skriver den til en fil at følgende IP har forsøgt sig x antal gange og blockeres nu i 3 timer. Så opretter den en midlertidig regel i firewallen som sender alle requests fra den givne ip ned i et "sort hul". En gang om ugen, eller en gang om måneden ell. lign. så kører programmet gennem alle de IP'er der er blevet midlertidigt blocket mere end 3 gange og tilføjer dem til den liste der bliver overvåget, dvs. alt der kommer fra den IP vil blive gemt i en seperat log, og så ellers sendt videre til det sorte hul. Så fortæller scriptet mig (i en mail) at jeg skal tage henvendelese til den pågældende IP's ISP.
Selve kodningen er det ikke mig der laver, og scriptet kommer nok ikke til at køre præcist på den måde, men det er ideen bag det. Jeg ved ikke om man kan lave noget lign. på en Windoze maskine, men det burde jo nok kunne lade sig gøre... Eller hvad?