Sinds ongeveer een week heeft Vinceprins thuis een
servertje draaien. Tot nu toe is het en
FTP server en een
Teamspeak server. Andere mogelijkheden zitten nog in de pen. Het servertje staat beneden gewoon op de kast en is geschonken door een hele fijne (lange)
collega (tor)
De stekkerdozen (zoals achterin op de foto) zijn inmiddels vervangen voor één stekkerdoos met een
overbelastingsbeveiliging ten einde om brand en andere ellende te voorkomen.
Goed, harstikke leuk allemaal. Uiteindelijk alle parameters goed ingesteld en het werkt prima allemaal. Bewust heeft Vinceprins er voor gekozen om geen persoonlijke en 'gevoelige' informatie op te slaan op het (FTP) servertje. Want je weet niet hoe gevoelig het servertje is voor ongewenst bezoek over de
www. Je moet trachten een balans te vinden tussen effectiviteit, bereikbaarheid en beveiliging. Hoe
paranoid moet je zijn of eigenlijk niet zijn om een veilige server te draaien? Goed je
firewall instellen en machtigingen e.d. is een pre.
Je zal nu wel denken: "Jeetje Vinceprins. Stop nou is met dit wazige gelul... waar wil je naar toe?" Wel naar het volgende: gisterenochtend checkte Vinceprins of alles nog goed draaide op de server. En toen ik het FTP programma opende zag ik tot mijn verbazing de volgende log van het FTP server programma:
(000080) 9-10-2008 7:02:27 - (not logged in) (218.36.66.162)> USER Administrator
(000080) 9-10-2008 7:02:27 - (not logged in) (218.36.66.162)> 331 Password required for administrator
(000080) 9-10-2008 7:02:35 - (not logged in) (218.36.66.162)> USER Administrator
(000080) 9-10-2008 7:02:35 - (not logged in) (218.36.66.162)> 331 Password required for administrator
(000080) 9-10-2008 7:02:43 - (not logged in) (218.36.66.162)> PASS *******
(000080) 9-10-2008 7:02:43 - (not logged in) (218.36.66.162)> 530 Login or password incorrect!
(000080) 9-10-2008 7:03:06 - (not logged in) (218.36.66.162)> PASS *******
(000080) 9-10-2008 7:03:06 - (not logged in) (218.36.66.162)> 530 Login or password incorrect!
(000080) 9-10-2008 7:03:16 - (not logged in) (218.36.66.162)> 421 Login time exceeded. Closing control connection.
(000080) 9-10-2008 7:03:16 - (not logged in) (218.36.66.162)> disconnected.
Dit ging nog een tijdje door.... alhoewel tijdje? Na 65 minuten, 63 pogingen en het invoeren van 126 mogelijke wachtwoorden was dit de laatste poging:
(000144) 9-10-2008 8:07:25 - (not logged in) (218.36.66.162)> Connected, sending welcome message...
(000144) 9-10-2008 8:07:25 - (not logged in) (218.36.66.162)> 220-FileZilla Server version 0.9.27 beta
(000144) 9-10-2008 8:07:25 - (not logged in) (218.36.66.162)> 220-verbonden met Vinceprins FTP server
(000144) 9-10-2008 8:07:30 - (not logged in) (218.36.66.162)> USER Administrator
(000144) 9-10-2008 8:07:30 - (not logged in) (218.36.66.162)> 331 Password required for administrator
(000144) 9-10-2008 8:07:36 - (not logged in) (218.36.66.162)> USER Administrator
(000144) 9-10-2008 8:07:36 - (not logged in) (218.36.66.162)> 331 Password required for administrator
(000144) 9-10-2008 8:07:44 - (not logged in) (218.36.66.162)> PASS ****
(000144) 9-10-2008 8:07:44 - (not logged in) (218.36.66.162)> 530 Login or password incorrect!
(000144) 9-10-2008 8:08:03 - (not logged in) (218.36.66.162)> PASS ****
(000144) 9-10-2008 8:08:03 - (not logged in) (218.36.66.162)> 530 Login or password incorrect!
(000144) 9-10-2008 8:08:26 - (not logged in) (218.36.66.162)> 421 Login time exceeded. Closing control connection.
(000144) 9-10-2008 8:08:26 - (not logged in) (218.36.66.162)> disconnected.
Bovenstaande betekent dus dat iemand mijn FTP servertje heeft geprobeerd te
'hacken'. Wie doet nu zoiets? Ik schreef net toch al dat er geen gevoelige informatie op staat! Of probeert men mijn lieve kleine snoezelige computertje (servertje) om te toveren in een
bot?
Ja inderdaad Vinceprins: wie doet nu zoiets? Zoals je hierboven kan zien heeft deze internet crimineel zijn
IP adres achtergelaten in de log. Daar kan hij niets aan doen, dat gebeurd gewoon. Elke computer heeft een uniek IP adres. Net zoals elke telefoon zijn eigen unieke telefoonnummer heeft. Een computer op een netwerk (want dat is het internet) kan niet zijn 'nummerweergave' uitzetten. (al zijn er wel weer andere foefjes) Nu zijn er websites waar je kan opzoeken wat het land van herkomst is van een IP adres en bijvoorbeeld ook welke internetprovider deze IP adressen beheert/uitgeeft etc etc. Vinceprins kwam tot de volgende feiten:
Het is bijna niet te lezen maar onze vriend die mijn servertje probeert te hacken komt uit Zuid Korea. Ik ben toch wel benieuwd op welke wijze hij mijn FTP servertje heeft ontdekt. (helaas dient poort 21 open te staan voor FTP verkeer)
Nu Vinceprins alles zo naleest en opzoekt hoeft onze vriend helemaal niet uit Zuid Korea te komen: hij kan ook vanaf een andere computer (in een ander land) de computer vanuit Korea besturen! Aha... het wordt steeds complexer. Het lijkt me meer voor de hand liggend, omdat ik kan zien dat de computer met het bewuste IP adres in de RBL lijst voorkomt, dat het misschien wel een bot is ?(onder even door klikken naar de volgende paginanummers.
Zo kunnen we nog wel even doorgaan met speculeren. Feit is dat je beter geen server kan draaien met persoonlijke informatie en moet zorgen dat alles goed is ingesteld. Zo ga ik nu mijn welkomtekst van mijn FTP server aanpassen en de naam van het gebruikte FTP programma verwijderen. Ook dit kan een risico zijn wanneer men weet wat de zwakte is van een bepaald programma. Zo zie je maar: gezond wantrouwen kan je een hoop ellende besparen!
En dat geldt niet alleen op de www. Niet vergeten Vinceprinsom nog even een Zuid Koreaanse range aan IP-adressen te blokkeren in mijnFTP servertje. OPzouten met die Bamiknager.
