Recentemente, tive um ataque de FTP em que três arquivos foram copiados para o diretório HTML público do meu domínio. (Parece que a senha do FTP foi comprometida, mas ainda estou investigando isso.) O estranho é que o log do FTP documentou 5 endereços IP separados que estavam envolvidos no mesmo ataque. Eu verifiquei os IPs mostrados no extrato de log abaixo. De acordo com o link , os IPs são originários da Áustria, Polônia, Brasil, Israel e Suécia.
Os 3 arquivos ofensivos são "mickey66.html", "mickey66.jpg" e "canopy37.html" - eles podem ser vistos no log extra ...
2010-06-17T21:24:02.073070+01:00 webserver pure-ftpd: ([email protected]) [INFO] kingdom is now logged in
2010-06-17T21: 24: 06.632472 + 01: 00 webserver pure-ftpd: ([email protected]) [INFO] reino agora está logado
2010-06-17T21: 24: 07.216924 + 01: 00 webserver pure-ftpd: ([email protected]) [AVISO] /home/kingdom//public_html/mickey66.html carregado (80 bytes, 0,26 KB / sec)
2010-06-17T21: 24: 07.364313 + 01: 00 webserver pure-ftpd: ([email protected]) [INFO] Logout.
2010-06-17T21: 24: 08.711231 + 01: 00 webserver pure-ftpd: ([email protected]) [INFO] kingdom agora está logado
2010-06-17T21: 24: 10.720315 + 01: 00 webserver pure-ftpd: ([email protected]) [AVISO] /home/kingdom//public_html/mickey66.jpg carregado (40835 bytes, 35,90KB / sec)
2010-06-17T21: 24: 10.848782 + 01: 00 webserver pure-ftpd: ([email protected]) [INFO] Logout.
2010-06-17T21: 24: 18.528074 + 01: 00 webserver pure-ftpd: ([email protected]) [INFO] Logout.
2010-06-17T21: 24: 22.023673 + 01: 00 webserver pure-ftpd: ([email protected]) [INFO] kingdom agora está logado
2010-06-17T21: 24: 23.470817 + 01: 00 webserver pure-ftpd: ([email protected]) [AVISO] /home/kingdom//public_html/mickey66.html carregado (80 bytes, 0,38 KB / sec)
2010-06-17T21: 24: 23.655023 + 01: 00 webserver pure-ftpd: ([email protected]) [INFO] Logout.
2010-06-17T21: 24: 26.249887 + 01: 00 webserver pure-ftpd: ([email protected]) [INFO] kingdom agora está logado
2010-06-17T21: 24: 28.461310 + 01: 00 webserver pure-ftpd: ([email protected]) [AVISO] /home/kingdom//public_html/canopy37.html carregado (80 bytes, 0,26 KB / sec)
2010-06-17T21: 24: 28.760513 + 01: 00 webserver pure-ftpd: ([email protected]) [INFO] Efetuar logout.
Eu não sei qual usuário é representado pelo sinal de consulta (?), isso é 'root'. Enfim, alguém pode esclarecer tudo isso?
Uma bot-net muito pequena? ; -)
Provavelmente será proveniente de outras máquinas comprometidas, e não do próprio IP das crianças.
Veja o fail2ban e o denyhosts.
Lembre-se, o FTP é um serviço terrível de ser executado, a menos que você realmente precise. Subversion ou similar é uma maneira melhor de manter um website, pelo menos use uma cópia segura sobre SSH se você precisar fazer uploads não versionados.
Eles provavelmente estão usando servidores de proxy aberto .
Parece que seu servidor foi acessado por um botnet
em vez de uma botnet, o usuário / senha de FTP (que foi definitivamente comprometido com base nos logs que você forneceu) foi passado no IRC e vários hackers que possuem caixas comprometidas na rede estão executando seus scripts que automaticamente desfiguram e adicione shells remotas a máquinas.