LINUX.ORG.RU

Лезут по ftp, а его перекрывать нельзя - поможите


0

0

Лезут по ftp, а его перекрывать нельзя - поможите Вот такие логи каждые 10 минут:

................. Oct 4 13:31:49 mywww wu.ftpd[2311]: connect from 64.246.44.112 Oct 4 13:31:49 mywww ftpd[2311]: USER admin Oct 4 13:31:49 mywww ftpd[2311]: PASS password Oct 4 13:31:49 mywww ftpd[2311]: failed login from alpha.webspacedirect.com [64.246.44.112] Oct 4 13:31:49 mywww ftpd[2311]: FTP session closed .................. Я единствыенное, что знаю - это "заремить" в inetd.conf строку ftp stream tcp nowait root /usr/sbin/tcpd wu.ftpd -l -i -a

Но тогда я по крайней мере не смогу обновлять сайт... Выгляжу слабовато, сам знаю, но ведь помощи и прошу.

anonymous

Ну возьми TCP Wrappers. А лучше - обновляй через ssh.

ivlad ★★★★★
()

Тут есть 2 пути: 1) прописать в /etc/hosts.allow разрешенные хосты, а остальных забанить. 2)аналогичное сделать с помощью ipfw(FreeBSD) или iptable(Linux)

edwin
()
Ответ на: комментарий от anonymous

Нет, не смог. Пошел по пути ipchains, создал правило: ipchains -A input -i eth1 -s 64.246.44.112 -j DENY Но все равно также лезет шпик. Что не так?

anonymous
()
Ответ на: комментарий от anonymous

Всё запретить, открыть только нужное.
А вообще - вместо wu.ftpd поставь proftpd или vsftpd, а то поломают.

Deleted
()
Ответ на: комментарий от Deleted

Dimez прав, у wu-ftpd есть определенные проблемы с секьюрностью. Лучше потрать время на смену фтпшника, чем тратить время на восстановление сервака после кряка, или оплату прогнанного черезз него траффа. Решай сам, что лучше...

ArSeN
()
Ответ на: комментарий от ArSeN

Согласный я, мужики... Ткните только куда-нить попроще, видите, даже простая цепочка не работает ни хера:

ipchains -A input -i eth1 -s 64.246.44.112 -j DENY

, т.е. логи не меняются, хоть я ipchains Интернет-то, по крайней мере, для юзеров раздавать "по заслугам" умею... Все-таки - почему у меня правило не срабатывает?

anonymous
()
Ответ на: комментарий от anonymous

Попробуй отрубить маршрутизацию от источника:

net.ipv4.conf.eth0.accept_source_route = 0

net.ipv4.conf.lo.accept_source_route = 0

...................интерфейсы...................

net.ipv4.conf.default.accept_source_route = 0

edwin
()
Ответ на: комментарий от anonymous

В общем при включенной маршрутизации от источника хакер может такие пакеты, посылать вам, что будете думать что хакает вас с одного места а он хакает вас с другого.

В общем: отрубите - спокойней жизнь будет.

edwin
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.