ProFTPD, ftp session opened closed
ProFTPD, ftp session opened closed
Evident, acest articol este adresat administratorilor de servere Unix/Linux care întâmpină probleme în administrarea serverelor Unix/Linux, servere ce sunt de foarte multe ori ținta unor atacuri informatice. Iar în acest articol, am să vă spun cum puteți verifica dacă serviciul FTP este atacat de hackeri.
Dacă utilizați serviciul ProFTPD pe post de server FTP, este foarte probabil ca acesta să fie la un moment dat supus unor atacuri informatice de tip “Brute Force”.
Cum puteți afla dacă sunteți atacat? Simplu: pentru verificare, folosiți comanda:
grep "ftp" /var/log/messages
Dacă va apare ceva asemănător cu:
… înseamnă că, cel mai probabil sunteți atacat. Ori, cineva încearcă să se conecteze “anonymous”.
1 2 3 4 5 6 7 8 9 10 11 12 | Jul 22 13:45:44 s1 proftpd[16172]: 127.0.0.1 ( ::ffff:58.185.34.211[::ffff:58.185.34.211] ) - FTP session opened. Jul 22 13:45:51 s1 proftpd[16172]: 127.0.0.1 ( ::ffff:58.185.34.211[::ffff:58.185.34.211] ) - FTP session closed. Jul 22 13:46:00 s1 proftpd[16173]: 127.0.0.1 ( ::ffff:58.185.34.211[::ffff:58.185.34.211] ) - FTP session opened. Jul 22 13:46:08 s1 proftpd[16173]: 127.0.0.1 ( ::ffff:58.185.34.211[::ffff:58.185.34.211] ) - FTP session closed. Jul 22 13:46:15 s1 proftpd[16175]: 127.0.0.1 ( ::ffff:58.185.34.211[::ffff:58.185.34.211] ) - FTP session opened. Jul 22 13:46:23 s1 proftpd[16175]: 127.0.0.1 ( ::ffff:58.185.34.211[::ffff:58.185.34.211] ) - FTP session closed. Jul 22 13:46:28 s1 proftpd[16177]: 127.0.0.1 ( ::ffff:58.185.34.211[::ffff:58.185.34.211] ) - FTP session opened. Jul 22 13:46:42 s1 proftpd[16177]: 127.0.0.1 ( ::ffff:58.185.34.211[::ffff:58.185.34.211] ) - FTP session closed. Jul 22 13:46:45 s1 proftpd[16183]: 127.0.0.1 ( ::ffff:58.185.34.211[::ffff:58.185.34.211] ) - FTP session opened. Jul 22 13:46:57 s1 proftpd[16183]: 127.0.0.1 ( ::ffff:58.185.34.211[::ffff:58.185.34.211] ) - FTP session closed. Jul 22 13:47:08 s1 proftpd[16226]: 127.0.0.1 ( ::ffff:58.185.34.211[::ffff:58.185.34.211] ) - FTP session opened. Jul 22 13:47:10 s1 proftpd[16226]: 127.0.0.1 ( ::ffff:58.185.34.211[::ffff:58.185.34.211] ) - FTP session closed. |
Ca exemplu, în cazul prezentat mai sus, verificați IP-ul 58.185.34.211 și vedeți de unde este. În exemplul acesta, IP-ul 58.185.34.211 este din Singapore. Evident, nimeni din Singapore nu are acces pe serverul meu la FTP, în concluzie este un atac prin care se încearcă spargerea FTP-ului de pe server.
Ca măsură preventivă, de multe ori obișnuiesc să banez clase întregi de IP-uri, iar asta pentru a nu-mi “aglomera” prea mult listele cu IP-uri blocate. Trebuie căutat CIDR-ul din care face parte IP-ul respectiv și blocată clasa în firewall, în cazul de față fiind vorba de CIDR: 58.185.0.0/17.
Evident, există și lfd, fail2ban ori alte asemenea tools, însă este bine ca întotdeauna să verificați și manual, securitatea serverului vostru.
Sper să vă fie utile informațiile …
Have fun.
