FTP támadás

Az elmúlt 4 hétben hatalmas mennyiségű FTP jelszó törést fedeztem fel a szerver naplójában. Próbálom értesíteni az érintett cégeket, de sajnos nem sikerült mindegyiket.

 

A törés nagyjából abból áll, hogy a szerver IP címéhez tartozó domain neveket próbálgatják végig (pl. keve, keve.info, www.keve.info), a jelszó pedig vagy ugyanez, vagy valami hasonló algoritmus alapján összerakott szöveg.

Egy példa:

Jun 20 06:26:22 www proftpd[5474] www.sagitta.hu (5ncomp.hu[94.199.180.120]): FTP session opened.
Jun 20 06:26:22 www proftpd[5474] www.sagitta.hu (5ncomp.hu[94.199.180.120]): USER lakasmento.hu: no such user found from 5ncomp.hu [94.199.180.120] to ::ffff:212.52.167.187:21
Jun 20 06:26:23 www proftpd[5474] www.sagitta.hu (5ncomp.hu[94.199.180.120]): FTP session closed.

Jun 20 06:30:37 www proftpd[5636] www.sagitta.hu (5ncomp.hu[94.199.180.120]): FTP session opened.
Jun 20 06:30:37 www proftpd[5636] www.sagitta.hu (5ncomp.hu[94.199.180.120]): USER nhlines (Login failed): No such user found.
Jun 20 06:30:37 www proftpd[5636] www.sagitta.hu (5ncomp.hu[94.199.180.120]): FTP session closed.

Jun 20 12:22:03 www proftpd[19617] www.sagitta.hu (5ncomp.hu[94.199.180.120]): FTP session opened.
Jun 20 12:22:03 www proftpd[19617] www.sagitta.hu (5ncomp.hu[94.199.180.120]): USER keve.info: no such user found from 5ncomp.hu [94.199.180.120] to ::ffff:212.52.167.187:21
Jun 20 12:22:03 www proftpd[19617] www.sagitta.hu (5ncomp.hu[94.199.180.120]): FTP session closed.

Hasonló bejegyzések

Related Posts