我最近做了大量关于如何设置 FTP 服务器(VSFTPD 3.0.5)以及安全性的研究,让我可以放心地将它从我的电脑中运行出来,并通过我的家庭网络将它暴露到互联网上,与少数人共享。
我已经让服务器运行并暴露在互联网上大约 36 个小时了(密切关注连接日志),并且已经注意到至少有两次我可以看到似乎是一些未知 IP试(据我所知,所有迹象都表明没有成功)登录,或者只是用垃圾来模糊 FTP 登录提示,希望以某种方式破坏它?我真的不明白他们在这里做什么,如果事实上这是一个坏人。以下是服务器日志的示例:
Sat Jan 6 15:27:02 2024 [pid 1553282] CONNECT: Client "199.45.154.16"
Sat Jan 6 15:27:02 2024 [pid 1553282] FTP response: Client "199.45.154.16", "220 Take a file, leave a file."
Sat Jan 6 15:27:02 2024 [pid 1553282] FTP command: Client "199.45.154.16", "????????????!??#?_??NV????ZBV??M??R???E??MU l?"??w??s??]#????Y??w??""
Sat Jan 6 15:27:02 2024 [pid 1553282] FTP response: Client "199.45.154.16", "530 Please login with USER and PASS."
Sat Jan 6 15:27:02 2024 [pid 1553282] FTP command: Client "199.45.154.16"
Sat Jan 6 15:27:02 2024 [pid 1553282] FTP command: Client "199.45.154.16", "G??XP??????3?G???????9?K???????E?????????????#?????+?"
Sat Jan 6 15:27:02 2024 [pid 1553282] FTP response: Client "199.45.154.16", "530 Please login with USER and PASS."
Sat Jan 6 15:27:02 2024 [pid 1553282] FTP command: Client "199.45.154.16", "?$?????,?R?S???????????????'?/???(?0?`?A?V?W?????????????"
Sat Jan 6 15:27:02 2024 [pid 1553282] FTP response: Client "199.45.154.16", "530 Please login with USER and PASS."
Sat Jan 6 15:27:02 2024 [pid 1553282] FTP command: Client "199.45.154.16", "?/?<???????5?=???????A?????????????????????????<MY_HOME_IP>???????????????"
Sat Jan 6 15:27:02 2024 [pid 1553282] FTP response: Client "199.45.154.16", "530 Please login with USER and PASS."
Sat Jan 6 15:27:02 2024 [pid 1553282] FTP command: Client "199.45.154.16", "?"
Sat Jan 6 15:27:02 2024 [pid 1553282] FTP response: Client "199.45.154.16", "530 Please login with USER and PASS."
Sat Jan 6 15:27:03 2024 [pid 1553286] CONNECT: Client "199.45.154.16"
Sat Jan 6 15:27:03 2024 [pid 1553286] FTP response: Client "199.45.154.16", "220 Take a file, leave a file."
Sat Jan 6 15:27:03 2024 [pid 1553286] FTP command: Client "199.45.154.16", "??????????????F?Z?0????YE???L[7I?IQ?]Q????] ?A?3????!"1?h#u??u?K?m????xU?G?????????????????A???????=?5???????<?/?"
Sat Jan 6 15:27:03 2024 [pid 1553286] FTP response: Client "199.45.154.16", "530 Please login with USER and PASS."
Sat Jan 6 15:27:03 2024 [pid 1553286] FTP command: Client "199.45.154.16", "?????????????W?V?A?`?0?(???/?'???????????????S?R?,?????$?"
Sat Jan 6 15:27:03 2024 [pid 1553286] FTP response: Client "199.45.154.16", "530 Please login with USER and PASS."
Sat Jan 6 15:27:03 2024 [pid 1553286] FTP command: Client "199.45.154.16", "?+?????#?????????????E???????K?9???????G?3???????????????<MY_HOME_IP>???????????????"
Sat Jan 6 15:27:03 2024 [pid 1553286] FTP response: Client "199.45.154.16", "530 Please login with USER and PASS."
Sat Jan 6 15:27:03 2024 [pid 1553286] FTP command: Client "199.45.154.16", "?"
Sat Jan 6 15:27:03 2024 [pid 1553286] FTP response: Client "199.45.154.16", "530 Please login with USER and PASS."
他们只是继续做这样的事情,或者尝试以我已禁用的身份登录anonymous。我注意到这些时间戳非常接近,我确信这一定是某种自动化/脚本。AI 建议可以加密或以其他方式混淆“命令”,但我认为不是,因为如果我登录并发送合法命令,VSFTPD 会以纯文本形式清楚地记录它们。
我在想有人在旧版本的服务器上寻找漏洞?我读到过 VSFTPD 2.3.4 存在一个大问题,所以也许这就是漏洞利用的方式?
我很惊讶这个运行在我 IP 上的服务器被发现得如此之快,我试图确认发生了什么,以及我是否可以采取一些主动措施来保证它的安全(除了将服务器下线)。VSFTPD 目前没有被源 IP 锁定,尽管我现在正在考虑这一点。我也读到了一些关于人们fail2ban在他们的 FTP 服务器上使用的内容?我从未使用过它,但如果它有帮助,我很感兴趣。
答案1
互联网上的每个 IP 或多或少都会被频繁地扫描。
尝试尽可能地隐藏,通过使用面向互联网的路由器上的非标准端口,并将其从该端口转发到计算机的正确端口。
对您想要在互联网上公开的帐户使用一个复杂而好的密码。
答案2
我每天很容易在随机已知端口上获得 1000 次攻击,而且这是通过 IP 地址阻止的(但它仍然记录了这次尝试)
我喜欢将其视为背景辐射,有大量的自动机器人,有些由黑客运行,有些由安全公司运行。暴露的时间越长,尝试的次数就越多。
在网络前面使用 VPN 肯定是比直接暴露更好的选择。
您应该安装 fail2ban,然后在 /etc/fail2ban 文件夹中有关于如何配置 jail.local 和/或 jail.conf 文件来监视您正在运行的服务的信息。
如果您继续直接暴露,您最终会吸引黑客的注意,他们会试图利用您的 FTP 服务器。随着新版本的发布,您需要更新它,因为黑客也会阅读发布说明。
大多数情况下,您会接触到尝试猜测密码或利用 vsftpd 的自动化工具。
至于阻止 IP,最好将 IP 地址列入白名单,而不是阻止,因为您的名单会迅速扩大。我一直在监控,主要是为了满足我的好奇心,但结果是一份有 110 万个永久阻止 IP 的阻止名单。
答案3
最有可能的是,这不是黑客的扫描/探测尝试:
浏览记录的源 IP 并对其进行反向 DNS 查找(例如dig -x ip.addr.goes.here),发现最多解析回主机的 IP 似乎是合法项目运营的大型扫描网络的一部分,这些网络的职责是扫描互联网上正在运行和暴露的内容,确定它们是否容易受到某些攻击,并且(据称)在可能的情况下通知所有者。
大多数此类活动很可能是良性的,但密切关注其来源是个好主意。
到目前为止我已经确定的一些来源如下:
还有其他主动措施可以防止恶意活动:
- 安装
fail2ban- 在配置的登录尝试失败次数后阻止可疑攻击者