来自5个国家的多个IP地址的服务器FTP攻击--这怎么可能呢？

Question

我最近受到FTP攻击，其中3个文件被复制到我域的公共HTML目录中。(看起来FTP密码被泄露了，但我仍在调查这个问题。)奇怪的是，FTP日志记录了在同一次攻击中涉及的5个单独的IP地址。我检查了下面日志摘录中显示的in。根据http://www.all-nettools.com/toolbox/smart-whois.php的说法，IP起源于奥地利、波兰、巴西、以色列和瑞典。

这三个令人反感的文件是"mickey66.html“、"mickey66.jpg”和"canopy37.html"，-它们--您可以在日志中看到它们。

2010-06-17T21:24:02.073070+01:00webserver纯-ftpd：(?@190.20.76.74) 信息王国现在登录

2010-06-17T21:24:06.632472+01:00webserver纯-ftpd：(?@77.250.141.158) 信息王国现在登录

2010-06-17T21:24:07.216924+01:00webserver纯-ftpd：(王国@77.250.141.158) 通知 /home/王国//public_html/mickey66.html上载(80字节，0.26KB/秒)

2010-06-17T21:24:07.364313+01:00webserver纯-ftpd：(王国@77.250.141.158) 信息登录。

2010-06-17T21:24:08.711231+01:00webserver纯-ftpd：(?@78.88.175.77) 信息王国现在登录

2010-06-17T21:24:10.720315+01:00webserver纯-ftpd：(王国@78.88.175.77) 通知 /home/王国//public_html/mickey66.jpg上传(40835字节，35.90KB/秒)

2010-06-17T21:24:10.848782+01:00webserver纯-ftpd：(王国@78.88.175.77) 信息登录。

2010-06-17T21:24:18.528074+01:00webserver纯-ftpd：(王国@190.20.76.74) 信息登录。

2010-06-17T21:24:22.023673+01:00webserver纯-ftpd：(?@85.130.254.227) 信息王国现在登录

2010-06-17T21:24:23.470817+01:00webserver纯-ftpd：(王国@85.130.254.227) 通知 /home/王国//public_html/mickey66.html上载(80字节，0.38KB/秒)

2010-06-17T21:24:23.655023+01:00webserver纯-ftpd：(王国@85.130.254.227) 信息登录。

2010-06-17T21:24:26.249887+01:00webserver纯-ftpd：(?@95.209.254.137) 信息王国现在登录

2010-06-17T21:24:28.461310+01:00webserver纯-ftpd：(王国@95.209.254.137) 通知 /home/王国//public_html/canopy37.html上载(80字节，0.26KB/秒)

2010-06-17T21:24:28.760513+01:00webserver纯-ftpd：(王国@95.209.254.137) 信息登录。

我不知道查询符号(?)表示哪个用户，这是'root‘吗？不管怎么说，有人能对这一切有所了解吗？

Answer 1

一个很小的bot网？

很可能来自其他受损的机器，而不是来自孩子们自己的IP。

看看fail2ban和denyhost。

请注意，FTP是一个糟糕的服务运行，除非你真的需要。Subversion或类似版本是维护网站的一种更好的方法，如果您需要进行不版本的上传，请至少使用SSH上的安全副本。

Answer 2

他们可能在使用开放代理服务器。

Answer 3

听起来你的服务器是被僵尸网络拥有的