www.ProFTPD.de
13. März 2007, 20:46:01 *
Willkommen Gast. Bitte einloggen oder registrieren.
Haben Sie Ihre Aktivierungs E-Mail übersehen?

Einloggen mit Benutzername, Passwort und Sitzungslänge
News: SMF - Neu installiert!
 
   Übersicht   Hilfe Suche Login Registrieren  
Seiten: [1]   Nach unten
  Drucken  
Autor Thema: BruteForce Angriff Stopp Programm  (Gelesen 736 mal)
0 Mitglieder und 1 Gast betrachten dieses Thema.
blackwolf
Gast
« am: 09. September 2004, 17:47:13 »

Hallo an alle.
Ich wollte mich mal erkundigen ob jemand an so einem Tool  (Bruteforce erkennung und sperrung) intresse hätte.
Habe schon mal so eine Anfrage in diesem Forum gelesen, die jedoch schon recht alt ist. Zwinkernd

Ich plane ein Tool in PHP zu schreiben, welches anhand des standard Logs Auswertungen trifft ob ein Bruteforce Angriff stattfindet, wenn es solch einen Angriff entdeckt könnte man angeben wie lange eine bestimmte IP gesperrt würde.

Das Sperren würde über eine .ftpaccess Datei erfolgen...

gestartet würde das Programm entweder per Cronjob oder aber mittels des modules exec.

Die Temporären Hilfsdateien und die Sperrdauer und andere Details würden in einer MYSQL Datenbank verwaltet.

Was meint ihr ??
bin schon an einem Prototyp dran den ich für mich dann nutzen werde und bis jetz funktioniert alles gut...

Wenn es ein Problem wäre das man PHP-CGI installiert haben müsste, wäre auch ein C Programm nicht alzu Abwegig.

Gruss blackwolf
Gespeichert
B-A
ProFTPD
*
Offline Offline

Beiträge: 31

16819931
Profil anzeigen WWW E-Mail
« Antwort #1 am: 09. September 2004, 18:16:09 »

mann kann einstellen da wenn X mal das Passwort falsch eingegeben wurde eine zwangspause für X Minuten ist.
aber wie weiß ich auch nicht.
wenn du es findes sag mir bitte bescheit.
Gespeichert
Wörsty
Moderator
ProFTPD
*****
Offline Offline

Beiträge: 1602


50772603
Profil anzeigen WWW E-Mail
« Antwort #2 am: 09. September 2004, 21:22:04 »

Halte ich nix von.
Gespeichert

RedHat 8.0 (2.4er Kernel)
proftpd 1.2.10
-mod_sql_mysql
-mow_wrap
-mod_exec
-mod_ifsession[/size]
blackwolf
Gast
« Antwort #3 am: 11. September 2004, 13:06:20 »

Auch wenn hier anscheinend niemand was davon hält was ich auch tolleriere, ist das Programm fertig.

Es erkennt nun wenn jemand versucht einen Bruteforce angriff zu starten und bannt die IP ohne das der Benutzer es mitkriegt für eine in der Config angegebene Zeit. Weil der Benutzer / das Programm nichts davon merken ist es nicht möglich die Strategie zu ändern oder aber ein Password zu knacken.
Der FTP meldet weiterhin einen 530 Login incorrect. genau so wie bei gültigen  Versuchen.

Diese Nachricht dient nur zu Info zwecken und kann auch ignoriert werden.
Gespeichert
Anonymous
Gast
« Antwort #4 am: 11. September 2004, 17:47:38 »

und wie heißt das programm
Gespeichert
blackwolf
Gast
« Antwort #5 am: 11. September 2004, 22:53:55 »

Hat noch keinen Namen ... was auch egal ist weil es meine Erfindung ist ...
Gespeichert
B-A
ProFTPD
*
Offline Offline

Beiträge: 31

16819931
Profil anzeigen WWW E-Mail
« Antwort #6 am: 14. September 2004, 17:50:33 »

kannst du uns mitteilen wie du das gemcht hast
Gespeichert
blackwolf
Gast
« Antwort #7 am: 14. September 2004, 22:19:34 »

Grob erklärt:
das programm liest  das standard log file vom proftp aus und wertet die daten aus ....
anhand des logs erkennt es wer versucht hat mit einem gültigen account sich einzuloggen ... und wer einen "nicht bekannten" account nutzt ...
nach einer angegebenen Anzahl fehlversuchen   wird die ip für den FTP gesperrt wird mittels  host.deny file in einer proftpd direktive ...

ein cronjob sorgt dafür das das programm gestartet wird von zeit zu zeit ...
es wird auch darauf geachtet das es nicht immer das ganze log auswertet und so weiter ...
Gespeichert
B-A
ProFTPD
*
Offline Offline

Beiträge: 31

16819931
Profil anzeigen WWW E-Mail
« Antwort #8 am: 14. September 2004, 23:48:41 »

ok thx
Gespeichert
blackwolf
Gast
« Antwort #9 am: 14. September 2004, 23:57:35 »

kein problem ...
aber scheint ned als ob es dir gefällt oder so Zwinkernd
Gespeichert
B-A
ProFTPD
*
Offline Offline

Beiträge: 31

16819931
Profil anzeigen WWW E-Mail
« Antwort #10 am: 15. September 2004, 15:48:24 »

also wenn du lust hast kannst du mir das programm ja mal schicken

IhnoMeyer ät web punkt de

thx

EDIT by Wörsty: Poste deine eMailadresse lieber nicht so öffentlich.
Sonst haste bald 'nen Spam-Problem.
Ich habe mal Leerzeichen eingefügt und so
Gespeichert
blackwolf
Gast
« Antwort #11 am: 16. September 2004, 02:47:53 »

Also das mit der Email ist so ne Sache... da hat wörsty recht.

Das Programm kannst du gerne haben aber da niemand intresse daran zeigte habe ich es "nicht" gross dokumentiert...

auch muss man an der proftpd config ein paar änderungen vornehmen ...
das sql script existiert jedoch so das du nur ein paar konstanten im PHP file ändern müsstest ...

fals du immer noch intressiert bist könnte ich das file auch auf nen webspace hochladen ...

und auch gerne bei Problemen damit weiterhelfen ...

Gruss blackwolf
Gespeichert
Seiten: [1]   Nach oben
  Drucken  
 
Gehe zu:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.2 | SMF © 2006-2007, Simple Machines LLC Prüfe XHTML 1.0 Prüfe CSS
Seite erstellt in 0.064 Sekunden mit 17 Zugriffen.