我最近遭受了一次 FTP 攻击,其中 3 个文件被复制到我的域的公共 HTML 目录中。(看起来 FTP 密码已被泄露,但我仍在调查此事。)奇怪的是,FTP 日志记录了参与同一次攻击的 5 个不同 IP 地址。我检查了下面日志摘录中显示的 IP。根据http://www.all-nettools.com/toolbox/smart-whois.php这些 IP 来自奥地利、波兰、巴西、以色列和瑞典。
这 3 个有问题的文件分别是“mickey66.html”、“mickey66.jpg”和“canopy37.html”,您可以在日志附加部分中看到它们……
2010-06-17T21:24:02.073070 + 01:00 网络服务器纯 ftpd:([电子邮件保护]) [INFO] 王国现已登录
2010-06-17T21:24:06.632472 + 01:00 网络服务器纯 ftpd:([电子邮件保护]) [INFO] 王国现已登录
2010-06-17T21:24:07.216924 + 01:00 网络服务器纯 ftpd:([电子邮件保护]) [通知] /home/kingdom//public_html/mickey66.html 已上传 (80 字节, 0.26KB/秒)
2010-06-17T21:24:07.364313 + 01:00 网络服务器纯 ftpd:([电子邮件保护]) [INFO] 退出。
2010-06-17T21:24:08.711231 + 01:00 网络服务器纯ftpd:([电子邮件保护]) [INFO] 王国现已登录
2010-06-17T21:24:10.720315 + 01:00 网络服务器纯ftpd:([电子邮件保护]) [通知] /home/kingdom//public_html/mickey66.jpg 已上传 (40835 字节,35.90KB/秒)
2010-06-17T21:24:10.848782 + 01:00 网络服务器纯 ftpd:([电子邮件保护]) [INFO] 退出。
2010-06-17T21:24:18.528074 + 01:00 网络服务器纯 ftpd:([电子邮件保护]) [INFO] 退出。
2010-06-17T21:24:22.023673 + 01:00 网络服务器纯 ftpd:([电子邮件保护]) [INFO] 王国现已登录
2010-06-17T21:24:23.470817 + 01:00 网络服务器纯 ftpd:([电子邮件保护]) [通知] /home/kingdom//public_html/mickey66.html 已上传 (80 字节, 0.38KB/秒)
2010-06-17T21:24:23.655023 + 01:00 网络服务器纯 ftpd:([电子邮件保护]) [INFO] 退出。
2010-06-17T21:24:26.249887 + 01:00 网络服务器纯 ftpd:([电子邮件保护]) [INFO] 王国现已登录
2010-06-17T21:24:28.461310 + 01:00 网络服务器纯 ftpd:([电子邮件保护]) [通知] /home/kingdom//public_html/canopy37.html 已上传 (80 字节, 0.26KB/秒)
2010-06-17T21:24:28.760513 + 01:00 网络服务器纯 ftpd:([电子邮件保护]) [INFO] 退出。
我不知道查询符号 (?) 代表什么用户,是“root”吗?无论如何,有人能解释一下这一切吗?
答案1
一个非常小的僵尸网络?;-)
可能来自其他受感染的机器,而不是小孩子自己的 IP。
看看 fail2ban 和 deniedhosts。
请注意,除非您真的非常需要,否则 FTP 是一项糟糕的服务。Subversion 或类似程序是维护网站的更好方法,如果您需要进行未版本化的上传,至少可以使用 SSH 上的安全复制。
答案2
他们可能正在使用开启代理服务器。
答案3
听起来你的服务器被僵尸网络
答案4
FTP 用户/密码(根据您提供的日志,肯定已被泄露)不是僵尸网络,而是在 IRC 上传递的,而且一些已经入侵网络各个角落的黑客正在运行他们的脚本,这些脚本会自动破坏机器并添加远程 shell。