服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 来自5个国家的多个IP地址的服务器FTP攻击 – 这怎么可能?
Intereting Posts
我有一个NTFS分区,现在分区的大小似乎是错误的。 有没有简单的方法来解决这个问题? 如何查看nginx重写规则应用于请求的内容? 本地EC2文件的CDN和TTL 证书注册控制已停止在本地主机AD CA服务器上工作? 访问连接到本地无线networking的本地设备上托pipe的网站时遇到问题 systemd:无法使我们成为一个subreaper:无效的参数。 SSH Spacewalk Anaconda Pxe Boot Issue – 内核版本3.10 …需要linux-firmware 20140911 6001redirect到允许的域外 如何在重新安装Ubuntu 9.04时保存设置? DHCP在请求租约时删除现有的DNSlogging,而没有可用的 如何防止wuauserv(Windows更新服务)重新启动? Windows本地pipe理员帐户 关于追踪路线的问题 SQL Server试用版到完整版 使用Linux Windows子系统的rsync服务器

来自5个国家的多个IP地址的服务器FTP攻击 – 这怎么可能?

我最近有一个FTP攻击,其中3个文件被复制到我的域的公共HTML目录。 (看起来FTP密码已经被盗用了,但是我仍然在研究这个)。奇怪的是,FTP日志logging了5个独立的IP地址,这些IP地址在同一次攻击中涉及到。 我检查了下面日志摘录中显示的IP。 据http://www.all-nettools.com/toolbox/smart-whois.php知识产权起源于奥地利,波兰,巴西,以色列和瑞典。

3个违规文件是“mickey66.html”,“mickey66.jpg”和“canopy37.html”, – 他们可以看到他们在日志额外…

2010-06-17T21:24:02.073070 + 01:00 webserver pure-ftpd:([email protected])[INFO] kingdom现在登入

2010-06-17T21:24:06.632472 + 01:00 webserver pure-ftpd:([email protected])[INFO] kingdom现在登入

webmaster pure-ftpd 🙁 [email protected])[公告] /home/kingdom//public_html/mickey66.html上传(80字节,0.26KB /秒)

2010-06-17T21:24:07.364313 + 01:00 webserver pure-ftpd 🙁 [email protected])[INFO]注销。

2010-06-17T21:24:08.711231 + 01:00 webserver pure-ftpd:([email protected])[INFO] kingdom现在登入

2010-06-17T21:24:10.720315 + 01:00 webserver pure-ftpd 🙁 [email protected])[NOTICE] /home/kingdom//public_html/mickey66.jpg上传(40835字节,35.90KB /秒)

2010-06-17T21:24:10.848782 + 01:00 webserver pure-ftpd 🙁 [email protected])[INFO]注销。

2010-06-17T21:24:18.528074 + 01:00 webserver pure-ftpd 🙁 [email protected])[INFO]注销。

2010-06-17T21:24:22.023673 + 01:00 webserver pure-ftpd:([email protected])[INFO] kingdom现在登入

2010-06-17T21:24:23.470817 + 01:00 webserver pure-ftpd 🙁 [email protected])[NOTICE] /home/kingdom//public_html/mickey66.html上传(80 bytes,0.38KB / sec)

2010-06-17T21:24:23.655023 + 01:00 webserver pure-ftpd 🙁 [email protected])[INFO]注销。

2010-06-17T21:24:26.249887 + 01:00 webserver pure-ftpd:([email protected])[INFO] kingdom现在login

2010-06-17T21:24:28.461310 + 01:00 webserver pure-ftpd 🙁 [email protected])[NOTICE] /home/kingdom//public_html/canopy37.html上传(80 bytes,0.26KB / sec)

2010-06-17T21:24:28.760513 + 01:00 webserver pure-ftpd 🙁 [email protected])[INFO]注销。

我不知道查询符号(?)代表的用户是什么,这是“根”。 无论如何,任何人都可以阐明这一切吗?

一个非常小的bot网? 😉

可能来自其他受损机器,而不是来自小孩自己的知识产权。

看看fail2ban和denyhosts。

请注意,除非你真的需要FTP,否则FTP是一个糟糕的服务。 Subversion或类似的维护一个网站的一个更好的方法,至less使用安全的SSH复制,如果你需要做非版本上传。

他们可能使用开放代理服务器。

听起来像你的服务器是由僵尸networking

而不是一个僵尸networking,FTP用户/密码(绝对是基于你提供的日志而被破坏的)被传递到IRC上,一些黑客在networking上遭到攻击,运行他们的脚本,这些脚本会自动修改并添加远程shell到机器。