Banda Ancha EU

Comunidad de usuarios
de fibra, móvil y ADSL

hosting en interdominios
170 lecturas y 14 respuestas
  • Cerrado

    [Editado]

    Visitas en mi FTP server

    Hola, tengo un servidor ftp privado (Serv-U), para intercambiar con amigos, y en el log del dominio me dice que... (copio y pego)
    "Connected to 195.5.23.x (Local address 192.168.1.103)"
    "IP-Name: AS-0-04.AR21-1S.KHARKOV.UKRTEL.NET"
    "Closing connection"
    en total todo eso dura 1 min. aprox. y asi otras tres conexiones mas en dos dias, decir que solo he dado los datos de conexion a amigos, y he dado de alta el servicio de redireccionamiento en no-ip. Son normales esas visitas :-? tengo puesto el firewall y no se si puedo tener problemas o estoy en bragas :-(

    Gracias.

    ah se me olvidaba, la cta. anonima esta desactivada, y si quereis pongo el ini con la configuracion del server.

    Este tema es antiguo y puede contener información obsoleta. Abre un nuevo tema para publicar tu mensaje.
    • Cerrado

      [Editado]

      Un ucraniano esta violando tu privacidad!! xD No sabria…

      Un ucraniano esta violando tu privacidad!! xD
      No sabria decirte como lo ha hecho, pero si el log te dice eso y no aceptas conexiones anonimas es evidente que se te ha colao. Es posible que si has hecho cuentas de usuario con logins y passwords sencillos las haya reventao con fuerza bruta (aunque no entenderia porque se tomara tantas molestias pa un servidor ftp de un usuario normal y corriente :-o )

      Tambien puede ser que algun colega tuyo este conectandose a traves de algun proxy raro. Si has dicho que usas el serv-u, prueba a asignar a cada usuario que tengas registrao una regla ip que te ayudara a tener el server un poco mas controlao.

      • Cerrado

        Gracias por contestar..., lo que dices de los proxy esta…

        Gracias por contestar..., lo que dices de los proxy esta descartado, porque conozco los usuarios y no usan de eso, podria ser lo de fuerza bruta, pero en fin... lo de la regla IP de momento creo que voy a pasar si no se repite mas veces.

        Saludos.

          • Cerrado

            [Editado]

            No sale pass ninguna, he cambiado los datos sensibles con…

            No sale pass ninguna, he cambiado los datos sensibles con arteriscos.
            Te pongo el log de mi usuario desde el trabajo con el cute FTP:

            *** CuteFTP Pro 6.0 - build Mar 25 2004 ***

            STATUS:> Getting listing ""...
            STATUS:> Resolving host name *.*.com...
            STATUS:> Host name *.*.com resolved: ip = 81.202.*.*.
            STATUS:> Connecting to FTP server *.*.com:21 (ip = 81.202.*.*)...
            STATUS:> Socket connected. Waiting for welcome message...
            220-Serv-U FTP Server v6.0 for WinSock ready...
            220 Bienvenido a mi FTP privado...
            STATUS:> Connected. Authenticating...
            COMMAND:> USER (nombre)
            331 User name okay, need password.
            COMMAND:> PASS *****
            230 User logged in, proceed.
            STATUS:> Login successful.

            y aqui el log que me da el server en casa:

            [1] Thu 02Jun05 14:40:15 - Starting FTP Server...
            [1] Thu 02Jun05 14:40:16 - FTP Server listening on port number 21, IP 192.168.1.103, 127.0.0.1
            [5] Thu 02Jun05 17:32:22 - (000002) Connected to 81.202.*.* (Local address 192.168.1.103)
            [5] Thu 02Jun05 17:32:22 - (000002) IP-Name: 81-202-*-*.USER.ONO.COM
            [5] Thu 02Jun05 17:32:23 - (000002) User (nombre) logged in
            [5] Thu 02Jun05 17:42:22 - (000002) Connection timed out
            [5] Thu 02Jun05 17:42:24 - (000002) Closing connection for user (nombre) (00:10:02 connected)
            [

            • Cerrado

              USUARIO REGISTRADO: [5] Thu 02Jun05 17:32:22 - (000002)…

              USUARIO REGISTRADO:
              [5] Thu 02Jun05 17:32:22 - (000002) Connected to 81.202.*.* (Local address 192.168.1.103)
              [5] Thu 02Jun05 17:32:22 - (000002) IP-Name: 81-202-*-*.USER.ONO.COM
              [5] Thu 02Jun05 17:32:23 - (000002) User (nombre) logged in
              [5] Thu 02Jun05 17:42:22 - (000002) Connection timed out
              [5] Thu 02Jun05 17:42:24 - (000002) Closing connection for user (nombre) (00:10:02 connected)

              INTRUSO:
              "Connected to 195.5.23.x (Local address 192.168.1.103)"
              "IP-Name: AS-0-04.AR21-1S.KHARKOV.UKRTEL.NET"
              "Closing connection"

              Con esto se puede ver que cuando se ha logueado el intruso no lo ha echo introduciendo ninguna pass por lo de que te haya reventado algun login queda descartado. Lo siento pero mis conocimientos sobre seguridad en servidores ftp no dan para mas, solo puedo decir... ¿asegurate de que no aceptas conexiones anonimas ? :-P

              • Cerrado

                [Editado]

                No lo pillais... cuando un usuario hace login, el log lo…

                No lo pillais... cuando un usuario hace login, el log lo muestra, es decir, alguien que realmente conecta:

                (000002) User (nombre) logged in - Pone su login y entra
                (000002) Closing connection for user (nombre) (00:10:02 connected) - Muestra el tiempo que ha estado conectado

                Sin embargo, el "intruso" no llega a ni a hacer login, los avisos que tienes es que alguien ha encontrado el servidor, pero no ha intentado entrar, mira si no el log de actividad del servidor, llega y con las mismas se va.

                Si quieres dejar de ver esos avisos, cambia el puerto del servidor (lo de no permitir login como anonimo es tan obvio que ni lo menciono... ah, de haber entrado alguien como anonimo el log diria algo asi como "(000002) User (anonymous) logged in")

                • Cerrado

                  No hace login pero si se conecta. La unica diferencia con un…

                  No hace login pero si se conecta. La unica diferencia con un usuario que tienes registrao es--> al establecer la conexion: User (nombre) logged in; y al cerrarla:Closing connection for user (nombre). Es decir ha encontrado un modo de conectarse a tu server sin tener que introducir login y pass, pero se conecta.

                    • Cerrado

                      [Editado]

                      Si tio, tienes toda la razon del mundo ;-) ;-) Acabo de hacer…

                      Si tio, tienes toda la razon del mundo ;-) ;-)
                      Acabo de hacer la prueba y mira que me sale:

                      [5] Fri 03Jun05 23:48:23 - (000002) Connected to *.*.*.* (Local address *.*.*.*)
                      [5] Fri 03Jun05 23:48:23 - (000002) IP-Name: *-*.MUNDO-R.COM
                      [5] Fri 03Jun05 23:48:36 - (000002) Closing connection

                      Exactamente lo mismo que le salia a el: Ha encontrado su server y se intenta conectar como anonimo pero la conexion es rechazada. Puede estar tranquilo :-D

                • Cerrado

                  Sin embargo, el "intruso" no llega a ni a hacer login, los…

                  Sin embargo, el "intruso" no llega a ni a hacer login, los avisos que tienes es que alguien ha encontrado el servidor, pero no ha intentado entrar, mira si no el log de actividad del servidor, llega y con las mismas se va.

                  Tienes razon! es como decia en el post inicial... "en total todo eso dura 1 min. aprox." entonces es que ni siquiera a conectado...

                  Gracias lofter :-)

              • Cerrado

                [Editado]

                Yo tambien tengo el serv-u 6.0.0.2 y el cuteftp 6.0.0.4 y he…

                Yo tambien tengo el serv-u 6.0.0.2 y el cuteftp 6.0.0.4 y he hecho la prueba y me autocorrijo porque por lo que se ve el ucraniano ese no se ha conectao como usuario anonimo, pego:

                LOG DEL CUTEFTP:
                STATUS:> Connected. Authenticating...
                COMMAND:> USER anonymous
                331 User name okay, please send complete E-mail address as password.
                COMMAND:> PASS *****
                230 User logged in, proceed.
                STATUS:> Login successful.

                LOG DEL SERV-U:
                [5] Fri 03Jun05 23:14:58 - (000001) Connected to *.*.*.* (Local address *.*.*.*)
                [5] Fri 03Jun05 23:14:58 - (000001) IP-Name: *-*.MUNDO-R.COM
                [5] Fri 03Jun05 23:14:58 - (000001) ANONYMOUS logged in, password: USER@ANONYMOUS.COM
                [5] Fri 03Jun05 23:15:25 - (000001) Closing connection for user ANONYMOUS (00:00:27 connected)

                Al menos con mi version del serv-u, cuando se conecta un usuario anonimo registra tambien el username como "ANONYMOUS". No tengo ni la mas remota idea de como ha hecho el tio ese pa conectarse a tu server :-?

    • Cerrado

      pues si a encontrado el servidor pero no ace login igualmente…

      pues si a encontrado el servidor pero no ace login igualmente te aconsejo mantener actualizada la version de servu y no abandonarla a susuerte ya ke ay varios agujeros en el sistema de servu en algunas versiones asi ke ya saves actualizando y buena administracion asi no tendras ningun problema por mucha gente ke sepa del server y weno pon algun sistema de filtrado por ip es decir si acen varios login incorrectos baneo a la ip xD te ahorras atakes de fuerza bruta si ves ke varias ips intentan logearse es un atake de fuerza bruta por proxies.. na con el baneo de ip contraseñas dificiles akabara el antes sin proxies ke tu servidor crackeado