Недавно у меня была FTP-атака, когда 3 файла были скопированы в общедоступный HTML-каталог моего домена. (Похоже, что пароль FTP был скомпрометирован, но я все еще занимаюсь этим.) Странно то, что в журнале FTP задокументировано 5 отдельных IP-адресов, которые были задействованы в одной атаке. Я проверил IP-адреса, указанные в выдержке из журнала ниже. В соответствии с http://www.all-nettools.com/toolbox/smart-whois.php IP-адреса происходят из Австрии, Польши, Бразилии, Израиля и Швеции.
3 файла, вызывающих нарушение, - это "mickey66.html", "mickey66.jpg" и "canopy37.html", и вы можете увидеть их в дополнительном журнале ...
2010-06-17T21: 24: 02.073070 + 01: 00 webserver pure-ftpd: (?@190.20.76.74) [INFO] Kingdom теперь авторизован
2010-06-17T21: 24: 06.632472 + 01: 00 webserver pure-ftpd: (?@77.250.141.158) [INFO] Kingdom теперь авторизован
2010-06-17T21: 24: 07.216924 + 01: 00 веб-сервер pure-ftpd: (Kingdom@77.250.141.158) [УВЕДОМЛЕНИЕ] /home/kingdom//public_html/mickey66.html загружено (80 байт, 0,26 КБ / сек)
2010-06-17T21: 24: 07.364313 + 01: 00 webserver pure-ftpd: (Kingdom@77.250.141.158) [ИНФОРМАЦИЯ] Выйти.
2010-06-17T21: 24: 08.711231 + 01: 00 webserver pure-ftpd: (?@78.88.175.77) [INFO] Kingdom теперь авторизован
2010-06-17T21: 24: 10.720315 + 01: 00 веб-сервер pure-ftpd: (Kingdom@78.88.175.77) [УВЕДОМЛЕНИЕ] /home/kingdom//public_html/mickey66.jpg загружено (40835 байт, 35,90 КБ / сек)
2010-06-17T21: 24: 10.848782 + 01: 00 веб-сервер pure-ftpd: (Kingdom@78.88.175.77) [ИНФОРМАЦИЯ] Выйти.
2010-06-17T21: 24: 18.528074 + 01: 00 веб-сервер pure-ftpd: (Kingdom@190.20.76.74) [ИНФОРМАЦИЯ] Выйти.
2010-06-17T21: 24: 22.023673 + 01: 00 webserver pure-ftpd: (?@85.130.254.227) [ИНФОРМАЦИЯ] Kingdom теперь авторизован
2010-06-17T21: 24: 23.470817 + 01: 00 веб-сервер pure-ftpd: (Kingdom@85.130.254.227) [УВЕДОМЛЕНИЕ] /home/kingdom//public_html/mickey66.html загружено (80 байт, 0,38 КБ / сек)
2010-06-17T21: 24: 23.655023 + 01: 00 веб-сервер pure-ftpd: (Kingdom@85.130.254.227) [ИНФОРМАЦИЯ] Выйти.
2010-06-17T21: 24: 26.249887 + 01: 00 webserver pure-ftpd: (?@95.209.254.137) [INFO] Kingdom теперь авторизован
2010-06-17T21: 24: 28.461310 + 01: 00 веб-сервер pure-ftpd: (Kingdom@95.209.254.137) [УВЕДОМЛЕНИЕ] /home/kingdom//public_html/canopy37.html загружено (80 байт, 0,26 КБ / сек)
2010-06-17T21: 24: 28.760513 + 01: 00 веб-сервер pure-ftpd: (Kingdom@95.209.254.137) [ИНФОРМАЦИЯ] Выйти.
Я не знаю, какой пользователь представлен знаком запроса (?), Это «корень». В любом случае может кто-нибудь пролить свет на все это?
Очень маленькая бот-сеть? ;-)
Скорее всего, будет исходить с других взломанных машин, а не с собственного IP-адреса детей.
Взгляните на fail2ban и denyhosts.
Имейте в виду, что FTP - ужасный сервис, если он вам действительно не нужен. Subversion или аналогичный - лучший способ поддерживать веб-сайт, по крайней мере, используйте безопасную копию через SSH, если вам нужно выполнять неверсионные загрузки.
Вероятно, они используют открытый прокси серверы.
Похоже, ваш сервер принадлежал ботнет
Вместо ботнета пользователь / пароль FTP (который был определенно взломан на основе предоставленных вами журналов) был передан по IRC, и несколько хакеров, взломавших ящики в сети, запускают свои сценарии, которые автоматически деформируют и добавляют удаленные оболочки к машинам.