來自 5 個國家/地區的多個 IP 地址的伺服器 FTP 攻擊 - 這怎麼可能?
我最近遇到了 FTP 攻擊,其中 3 個文件被複製到我域的公共 HTML 目錄中。(看起來 FTP 密碼已被洩露,但我仍在對此進行調查。)奇怪的是,FTP 日誌記錄了 5 個獨立的 IP 地址,它們涉及同一攻擊。我檢查了下面日誌摘錄中顯示的 IP。根據http://www.all-nettools.com/toolbox/smart-whois.php,IP來自奧地利、波蘭、巴西、以色列和瑞典。
3 個有問題的文件是“mickey66.html”、“mickey66.jpg”和“canopy37.html”,你可以在額外的日誌中看到它們…
2010-06-17T21:24:02.073070+01:00 網路伺服器純 ftpd: (?@190.20.76.74)
$$ INFO $$王國現已登錄
2010-06-17T21:24:06.632472+01:00 網路伺服器純 ftpd: (?@77.250.141.158)
$$ INFO $$王國現已登錄 2010-06-17T21:24:07.216924+01:00 webserver pure-ftpd: (kingdom@77.250.141.158)
$$ NOTICE $$/home/kingdom//public_html/mickey66.html 上傳(80 字節,0.26KB/秒) 2010-06-17T21:24:07.364313+01:00 webserver pure-ftpd: (kingdom@77.250.141.158)
$$ INFO $$登出。 2010-06-17T21:24:08.711231+01:00 網路伺服器純 ftpd: (?@78.88.175.77)
$$ INFO $$王國現已登錄 2010-06-17T21:24:10.720315+01:00 webserver pure-ftpd: (kingdom@78.88.175.77)
$$ NOTICE $$/home/kingdom//public_html/mickey66.jpg 上傳(40835 字節,35.90KB/秒) 2010-06-17T21:24:10.848782+01:00 webserver pure-ftpd: (kingdom@78.88.175.77)
$$ INFO $$登出。 2010-06-17T21:24:18.528074+01:00 webserver pure-ftpd: (kingdom@190.20.76.74)
$$ INFO $$登出。 2010-06-17T21:24:22.023673+01:00 網路伺服器純 ftpd: (?@85.130.254.227)
$$ INFO $$王國現已登錄 2010-06-17T21:24:23.470817+01:00 webserver pure-ftpd: (kingdom@85.130.254.227)
$$ NOTICE $$/home/kingdom//public_html/mickey66.html 上傳(80 字節,0.38KB/秒) 2010-06-17T21:24:23.655023+01:00 webserver pure-ftpd: (kingdom@85.130.254.227)
$$ INFO $$登出。 2010-06-17T21:24:26.249887+01:00 網路伺服器純 ftpd: (?@95.209.254.137)
$$ INFO $$王國現已登錄 2010-06-17T21:24:28.461310+01:00 webserver pure-ftpd: (kingdom@95.209.254.137)
$$ NOTICE $$/home/kingdom//public_html/canopy37.html 上傳(80 字節,0.26KB/秒) 2010-06-17T21:24:28.760513+01:00 webserver pure-ftpd: (kingdom@95.209.254.137)
$$ INFO $$登出。 我不知道查詢符號(?)代表什麼使用者,這是“根”。無論如何,任何人都可以闡明這一切嗎?
一個非常小的殭屍網路?;-)
可能來自其他受感染的機器,而不是來自孩子們自己的 IP。
看看fail2ban 和denyhosts。
請注意,除非您真的需要,否則執行 FTP 是一項糟糕的服務。Subversion 或類似方法是維護網站的更好方法,如果您需要進行無版本上傳,至少使用 SSH 上的安全副本。
他們可能正在使用開放式代理伺服器。