www.ProFTPD.de

Hallo an alle.
Ich wollte mich mal erkundigen ob jemand an so einem Tool  (Bruteforce erkennung und sperrung) intresse hätte.
Habe schon mal so eine Anfrage in diesem Forum gelesen, die jedoch schon recht alt ist. ;)

Ich plane ein Tool in PHP zu schreiben, welches anhand des standard Logs Auswertungen trifft ob ein Bruteforce Angriff stattfindet, wenn es solch einen Angriff entdeckt könnte man angeben wie lange eine bestimmte IP gesperrt würde.

Das Sperren würde über eine .ftpaccess Datei erfolgen...

gestartet würde das Programm entweder per Cronjob oder aber mittels des modules exec.

Die Temporären Hilfsdateien und die Sperrdauer und andere Details würden in einer MYSQL Datenbank verwaltet.

Was meint ihr ??
bin schon an einem Prototyp dran den ich für mich dann nutzen werde und bis jetz funktioniert alles gut...

Wenn es ein Problem wäre das man PHP-CGI installiert haben müsste, wäre auch ein C Programm nicht alzu Abwegig.

Gruss blackwolf

mann kann einstellen da wenn X mal das Passwort falsch eingegeben wurde eine zwangspause für X Minuten ist.
aber wie weiß ich auch nicht.
wenn du es findes sag mir bitte bescheit.

Halte ich nix von.

Auch wenn hier anscheinend niemand was davon hält was ich auch tolleriere, ist das Programm fertig.

Es erkennt nun wenn jemand versucht einen Bruteforce angriff zu starten und bannt die IP ohne das der Benutzer es mitkriegt für eine in der Config angegebene Zeit. Weil der Benutzer / das Programm nichts davon merken ist es nicht möglich die Strategie zu ändern oder aber ein Password zu knacken.
Der FTP meldet weiterhin einen 530 Login incorrect. genau so wie bei gültigen  Versuchen.

Diese Nachricht dient nur zu Info zwecken und kann auch ignoriert werden.

und wie heißt das programm

Hat noch keinen Namen ... was auch egal ist weil es meine Erfindung ist ...

kannst du uns mitteilen wie du das gemcht hast

Grob erklärt:
das programm liest  das standard log file vom proftp aus und wertet die daten aus ....
anhand des logs erkennt es wer versucht hat mit einem gültigen account sich einzuloggen ... und wer einen "nicht bekannten" account nutzt ...
nach einer angegebenen Anzahl fehlversuchen   wird die ip für den FTP gesperrt wird mittels  host.deny file in einer proftpd direktive ...

ein cronjob sorgt dafür das das programm gestartet wird von zeit zu zeit ...
es wird auch darauf geachtet das es nicht immer das ganze log auswertet und so weiter ...

ok thx

kein problem ...
aber scheint ned als ob es dir gefällt oder so ;)

also wenn du lust hast kannst du mir das programm ja mal schicken

IhnoMeyer ät web punkt de

thx

EDIT by Wörsty: Poste deine eMailadresse lieber nicht so öffentlich.
Sonst haste bald 'nen Spam-Problem.
Ich habe mal Leerzeichen eingefügt und so

Also das mit der Email ist so ne Sache... da hat wörsty recht.

Das Programm kannst du gerne haben aber da niemand intresse daran zeigte habe ich es "nicht" gross dokumentiert...

auch muss man an der proftpd config ein paar änderungen vornehmen ...
das sql script existiert jedoch so das du nur ein paar konstanten im PHP file ändern müsstest ...

fals du immer noch intressiert bist könnte ich das file auch auf nen webspace hochladen ...

und auch gerne bei Problemen damit weiterhelfen ...

Gruss blackwolf