ProFTPD, ftp session opened closed

ProFTPD ProFTPD, ftp session opened closed

ProFTPD, ftp session opened closed

Evident, acest articol este adresat administratorilor de servere Unix/Linux care întâmpină probleme în administrarea serverelor Unix/Linux, servere ce sunt de foarte multe ori ținta unor atacuri informatice. Iar în acest articol, am să vă spun cum puteți verifica dacă serviciul FTP este atacat de hackeri.

Dacă utilizați serviciul ProFTPD pe post de server FTP, este foarte probabil ca acesta să fie la un moment dat supus unor atacuri informatice de tip “Brute Force”.

Cum puteți afla dacă sunteți atacat? Simplu: pentru verificare, folosiți comanda:

grep "ftp" /var/log/messages

Dacă va apare ceva asemănător cu:

ProFTPD ftp session opened closed ProFTPD, ftp session opened closed

… înseamnă că, cel mai probabil sunteți atacat. Ori, cineva încearcă să se conecteze “anonymous”.

1
2
3
4
5
6
7
8
9
10
11
12
Jul 22 13:45:44 s1 proftpd[16172]: 127.0.0.1 ( ::ffff:58.185.34.211[::ffff:58.185.34.211] ) - FTP session opened.
Jul 22 13:45:51 s1 proftpd[16172]: 127.0.0.1 ( ::ffff:58.185.34.211[::ffff:58.185.34.211] ) - FTP session closed.
Jul 22 13:46:00 s1 proftpd[16173]: 127.0.0.1 ( ::ffff:58.185.34.211[::ffff:58.185.34.211] ) - FTP session opened.
Jul 22 13:46:08 s1 proftpd[16173]: 127.0.0.1 ( ::ffff:58.185.34.211[::ffff:58.185.34.211] ) - FTP session closed.
Jul 22 13:46:15 s1 proftpd[16175]: 127.0.0.1 ( ::ffff:58.185.34.211[::ffff:58.185.34.211] ) - FTP session opened.
Jul 22 13:46:23 s1 proftpd[16175]: 127.0.0.1 ( ::ffff:58.185.34.211[::ffff:58.185.34.211] ) - FTP session closed.
Jul 22 13:46:28 s1 proftpd[16177]: 127.0.0.1 ( ::ffff:58.185.34.211[::ffff:58.185.34.211] ) - FTP session opened.
Jul 22 13:46:42 s1 proftpd[16177]: 127.0.0.1 ( ::ffff:58.185.34.211[::ffff:58.185.34.211] ) - FTP session closed.
Jul 22 13:46:45 s1 proftpd[16183]: 127.0.0.1 ( ::ffff:58.185.34.211[::ffff:58.185.34.211] ) - FTP session opened.
Jul 22 13:46:57 s1 proftpd[16183]: 127.0.0.1 ( ::ffff:58.185.34.211[::ffff:58.185.34.211] ) - FTP session closed.
Jul 22 13:47:08 s1 proftpd[16226]: 127.0.0.1 ( ::ffff:58.185.34.211[::ffff:58.185.34.211] ) - FTP session opened.
Jul 22 13:47:10 s1 proftpd[16226]: 127.0.0.1 ( ::ffff:58.185.34.211[::ffff:58.185.34.211] ) - FTP session closed.
Jul 22 13:45:44 s1 proftpd[16172]: 127.0.0.1 ( ::ffff:58.185.34.211[::ffff:58.185.34.211] ) - FTP session opened.
Jul 22 13:45:51 s1 proftpd[16172]: 127.0.0.1 ( ::ffff:58.185.34.211[::ffff:58.185.34.211] ) - FTP session closed.
Jul 22 13:46:00 s1 proftpd[16173]: 127.0.0.1 ( ::ffff:58.185.34.211[::ffff:58.185.34.211] ) - FTP session opened.
Jul 22 13:46:08 s1 proftpd[16173]: 127.0.0.1 ( ::ffff:58.185.34.211[::ffff:58.185.34.211] ) - FTP session closed.
Jul 22 13:46:15 s1 proftpd[16175]: 127.0.0.1 ( ::ffff:58.185.34.211[::ffff:58.185.34.211] ) - FTP session opened.
Jul 22 13:46:23 s1 proftpd[16175]: 127.0.0.1 ( ::ffff:58.185.34.211[::ffff:58.185.34.211] ) - FTP session closed.
Jul 22 13:46:28 s1 proftpd[16177]: 127.0.0.1 ( ::ffff:58.185.34.211[::ffff:58.185.34.211] ) - FTP session opened.
Jul 22 13:46:42 s1 proftpd[16177]: 127.0.0.1 ( ::ffff:58.185.34.211[::ffff:58.185.34.211] ) - FTP session closed.
Jul 22 13:46:45 s1 proftpd[16183]: 127.0.0.1 ( ::ffff:58.185.34.211[::ffff:58.185.34.211] ) - FTP session opened.
Jul 22 13:46:57 s1 proftpd[16183]: 127.0.0.1 ( ::ffff:58.185.34.211[::ffff:58.185.34.211] ) - FTP session closed.
Jul 22 13:47:08 s1 proftpd[16226]: 127.0.0.1 ( ::ffff:58.185.34.211[::ffff:58.185.34.211] ) - FTP session opened.
Jul 22 13:47:10 s1 proftpd[16226]: 127.0.0.1 ( ::ffff:58.185.34.211[::ffff:58.185.34.211] ) - FTP session closed.

Ca exemplu, în cazul prezentat mai sus, verificați IP-ul 58.185.34.211 și vedeți de unde este. În exemplul acesta, IP-ul 58.185.34.211 este din Singapore. Evident, nimeni din Singapore nu are acces pe serverul meu la FTP, în concluzie este un atac prin care se încearcă spargerea FTP-ului de pe server.

Ca măsură preventivă, de multe ori obișnuiesc să banez clase întregi de IP-uri, iar asta pentru a nu-mi “aglomera” prea mult listele cu IP-uri blocate. Trebuie căutat CIDR-ul din care face parte IP-ul respectiv și blocată clasa în firewall, în cazul de față fiind vorba de CIDR: 58.185.0.0/17.

Evident, există și lfd, fail2ban ori alte asemenea tools, însă este bine ca întotdeauna să verificați și manual, securitatea serverului vostru.

Sper să vă fie utile informațiile …

Have fun.

linux server ProFTPD, ftp session opened closed

Ţi-a plăcut acest articol ? Atunci votează-l, aici:
   
Comentează acest subiect
Acest articol a fost publicat de , miercuri, 22 iulie 2015 in categoria Linux. Poti sa urmaresti raspunsurile catre acest articol prin RSS 2.0 feed. Poti sa adaugi un comentariu, sau poti sa pui un trackback (link) de pe propriul tau site:

Ctrl + C pentru a copia linkul

Adaugă un comentariu

Autentifică-te pe site și nu va mai trebui să completezi căsuțele de mai sus.

:) :( :d :"> :(( :dancing: :x 8-| /:) :o :-? :-" :-w ;) [-( :peace: arata toate iconitele »

 

Acum poți adăuga pe site, propriile tale articole. Click aici !



Anunturi Gratuite