# Software > Ασφάλεια >  Συνεχής απόπειρες σύνδεσης στο Mt απο άγνωστο χρήστη

## sfo105

Καλησπέρα σας,

Εδώ και μια εβδομάδα περίπου βλέπω πολλές προσπάθειες σύνδεσης στο mikrotik απο κάποιον χρήστη "anonymous" μέσω ftp με ip 10.140.19.209.
Οι προσπάθειες γίνονται 2-3 φορές την ημέρα σε άσχετες ώρες. Δεν έχει καταφέρει ποτέ να συνδεθεί.Κοίταξα και την δειυνθυσιοδότηση στο wind και δεν φαίνεται να είναι κάποια γνωστή.Έχει κανείς καμία ιδέα ποιός μπορεί να είναι και γιατί το κάνει?

Ευχαριστώ.

----------


## gas

Εναι μια υπηρεσια απο το PWMN. Δες εδω:http://forum.pwmn.net/viewtopic.php?...660c34b#p14734
Οποτε μην ανυσηχεις δεν υπαρχει δολος.

----------


## sfo105

ok gas νασαι καλα!

----------


## grigoris

> Καλησπέρα σας,
> 
> Εδώ και μια εβδομάδα περίπου βλέπω πολλές προσπάθειες σύνδεσης στο mikrotik απο κάποιον χρήστη "anonymous" μέσω ftp με ip 10.140.19.209.
> Οι προσπάθειες γίνονται 2-3 φορές την ημέρα σε άσχετες ώρες. Δεν έχει καταφέρει ποτέ να συνδεθεί.Κοίταξα και την δειυνθυσιοδότηση στο wind και δεν φαίνεται να είναι κάποια γνωστή.Έχει κανείς καμία ιδέα ποιός μπορεί να είναι και γιατί το κάνει?
> 
> Ευχαριστώ.


Ελα παιδια, να τις μαθαινουμε σιγα σιγα τις ΙΡ τωρα που εχουμε και 124χλμ να ενωνει awmn με pwmn!  :: 

10.140 -> Πατρα
10.143 -> Πατρα
10.229 -> Μεσολογγι
10.249 -> Κεφαλονια (αν και υπηρχε και πιο παλια πληρης προσβαση σε αυτο απο καλαματα)
10.139 -> Αιγιο

ισως να ξεχναω και κατι..

----------


## itmy

Είναι ένα bot που λειτουργεί σαν το ftpsearch του awmn. 
Αυτό που κάνει είναι ότι ψάχνει στο δίκτυο για ανοιχτούς ftp servers (εξ'ου και το username: "anonymous") και αφού βρεί κάποιους, κάνει list τα αρχεία που περιέχει ώστε να μπορεί κανείς να κάνει γρήγορη αναζήτηση μέσω του irc. 
Τα mikrotikia δυστυχώς τρέχουν ftp server (κλειδωμένο φυσικά με τα user/pass των χρηστών του Μτικ) οπότε όταν δοκιμάζει το bot να ανοίξει τον ftp server, αυτό μαρκάρεται σαν να προσπαθεί κανείς να κάνει login.
Το bot δε θα τρέχει πολύ συχνά (ίσως το βάλω καθε βράδυ), θα τρέχει πάντα από την ίδια IP, προφανώς και δε θα δοκιμάζει user/pass άλλα εκτός του "anonymous" και δε δημιουργεί πολύ traffic (καμιά 30ρια MB τη φορά συνολικά για όλο το ασύρματο δίκτυο).

----------


## chrismarine

οι περισσότεροι από εμάς έχουμε ρυθμίσει τα μπρίκια μας να ακούνε στην 10.χχ.χχ.1 ! μήπως υπάρχει τρόπος να ρυθμιστεί το bot και να παρακάμπτει την 1 πχ ?

----------


## gas

> Ελα παιδια, να τις μαθαινουμε σιγα σιγα τις ΙΡ τωρα που εχουμε και 124χλμ να ενωνει awmn με pwmn! 
> 
> 10.140 -> Πατρα
> 10.143 -> Πατρα
> 10.229 -> Μεσολογγι
> 10.249 -> Κεφαλονια (αν και υπηρχε και πιο παλια πληρης προσβαση σε αυτο απο καλαματα)
> 10.139 -> Αιγιο
> 
> ισως να ξεχναω και κατι..


Το Αιγιο εχει πλεον 10.141.x.x λογω conflict με ip's εκτος Ελλαδος.

----------


## itmy

Θα το βάλω να κοιτάει αν ακούει το winbox. Αν ναί τότε θα υποθέτω ότι δεν υπάρχει ανοιχτός ftp... αν και μπορεί κάποιος να τρέχει τον ftp του σε mikrotik...

----------


## Cha0s

Αν και είναι ενοχλητικό να βλέπεις failed logins πιστεύω πως η λύση είναι firewall στο Mikrotik. Ή ακόμα καλύτερα να κλείσει το FTP. Επί το πλείστον δεν χρειάζεται να τρέχει FTP Server ένας router εκτός αν κάποιος τα έχει όλα σε ένα μηχάνημα (router, ftp, dns κλπ)

Είτε πρόκειται για «κακόβουλο» failed login (πχ κάποιος νέος στο δίκτυο «παίζει» σκανάροντας ότι νάναι) είτε πρόκειται για κάποιο bot όπως στην προκειμένη περίπτωση, όπως και στο Internet έτσι και εδώ είναι δική μας υποχρέωση να προστατεύσουμε τα δίκτυα μας.

Οπότε είτε βάλτε ένα firewall να κόβει το port 21 TCP και να το επιτρέπει μόνο από τις IPs που θέλετε και καθαρίσατε είτε απλά κλείστε στο FTP service στους routers σας  ::

----------

