首页
学习
活动
专区
圈层
工具
发布
社区首页 >问答首页 >来自5个国家的多个IP地址的服务器FTP攻击--这怎么可能呢?

来自5个国家的多个IP地址的服务器FTP攻击--这怎么可能呢?
EN

Server Fault用户
提问于 2010-06-21 16:24:39
回答 4查看 1.5K关注 0票数 2

我最近受到FTP攻击,其中3个文件被复制到我域的公共HTML目录中。(看起来FTP密码被泄露了,但我仍在调查这个问题。)奇怪的是,FTP日志记录了在同一次攻击中涉及的5个单独的IP地址。我检查了下面日志摘录中显示的in。根据http://www.all-nettools.com/toolbox/smart-whois.php的说法,IP起源于奥地利、波兰、巴西、以色列和瑞典。

这三个令人反感的文件是"mickey66.html“、"mickey66.jpg”和"canopy37.html",-它们--您可以在日志中看到它们。

2010-06-17T21:24:02.073070+01:00webserver纯-ftpd:(?@190.20.76.74) 信息王国现在登录

2010-06-17T21:24:06.632472+01:00webserver纯-ftpd:(?@77.250.141.158) 信息王国现在登录

2010-06-17T21:24:07.216924+01:00webserver纯-ftpd:(王国@77.250.141.158) 通知 /home/王国//public_html/mickey66.html上载(80字节,0.26KB/秒)

2010-06-17T21:24:07.364313+01:00webserver纯-ftpd:(王国@77.250.141.158) 信息登录。

2010-06-17T21:24:08.711231+01:00webserver纯-ftpd:(?@78.88.175.77) 信息王国现在登录

2010-06-17T21:24:10.720315+01:00webserver纯-ftpd:(王国@78.88.175.77) 通知 /home/王国//public_html/mickey66.jpg上传(40835字节,35.90KB/秒)

2010-06-17T21:24:10.848782+01:00webserver纯-ftpd:(王国@78.88.175.77) 信息登录。

2010-06-17T21:24:18.528074+01:00webserver纯-ftpd:(王国@190.20.76.74) 信息登录。

2010-06-17T21:24:22.023673+01:00webserver纯-ftpd:(?@85.130.254.227) 信息王国现在登录

2010-06-17T21:24:23.470817+01:00webserver纯-ftpd:(王国@85.130.254.227) 通知 /home/王国//public_html/mickey66.html上载(80字节,0.38KB/秒)

2010-06-17T21:24:23.655023+01:00webserver纯-ftpd:(王国@85.130.254.227) 信息登录。

2010-06-17T21:24:26.249887+01:00webserver纯-ftpd:(?@95.209.254.137) 信息王国现在登录

2010-06-17T21:24:28.461310+01:00webserver纯-ftpd:(王国@95.209.254.137) 通知 /home/王国//public_html/canopy37.html上载(80字节,0.26KB/秒)

2010-06-17T21:24:28.760513+01:00webserver纯-ftpd:(王国@95.209.254.137) 信息登录。

我不知道查询符号(?)表示哪个用户,这是'root‘吗?不管怎么说,有人能对这一切有所了解吗?

EN

回答 4

Server Fault用户

回答已采纳

发布于 2010-06-21 16:29:41

一个很小的bot网?

很可能来自其他受损的机器,而不是来自孩子们自己的IP。

看看fail2ban和denyhost。

请注意,FTP是一个糟糕的服务运行,除非你真的需要。Subversion或类似版本是维护网站的一种更好的方法,如果您需要进行不版本的上传,请至少使用SSH上的安全副本。

票数 2
EN

Server Fault用户

发布于 2010-06-21 16:29:56

他们可能在使用开放代理服务器。

票数 1
EN

Server Fault用户

发布于 2010-06-21 16:30:07

听起来你的服务器是被僵尸网络拥有的

票数 0
EN
页面原文内容由Server Fault提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:

https://serverfault.com/questions/153905

复制
相关文章

相似问题

领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档