AskOverflow.Dev

AskOverflow.Dev Logo AskOverflow.Dev Logo

AskOverflow.Dev Navigation

  • 主页
  • 系统&网络
  • Ubuntu
  • Unix
  • DBA
  • Computer
  • Coding
  • LangChain

Mobile menu

Close
  • 主页
  • 系统&网络
    • 最新
    • 热门
    • 标签
  • Ubuntu
    • 最新
    • 热门
    • 标签
  • Unix
    • 最新
    • 标签
  • DBA
    • 最新
    • 标签
  • Computer
    • 最新
    • 标签
  • Coding
    • 最新
    • 标签
主页 / computer / 问题 / 1824602
Accepted
Ubunfu
Ubunfu
Asked: 2024-01-07 00:20:45 +0800 CST2024-01-07 00:20:45 +0800 CST 2024-01-07 00:20:45 +0800 CST

我的 FTP 服务器是否正在被黑客扫描/探测?

  • 772

我最近做了很多关于如何设置 FTP 服务器(VSFTPD 3.0.5)并保护它的研究,以至于我觉得相当舒服地从我的衣柜中运行它并将其从我的家庭网络暴露到互联网上与选定的少数人分享。

我已经让服务器运行并暴露在互联网上大约 36 个小时了(眼睛密切关注连接日志),并且我已经注意到至少有两个不同的场合我可以看到似乎是少数的内容未知的 IP尝试(从我所知的所有迹象来看均未成功)登录,或者只是用垃圾模糊 FTP 登录提示,希望以某种方式破坏它?我真的无法理解他们在这里所做的事情,如果事实上这是一个糟糕的演员。这是服务器日志的示例:

Sat Jan  6 15:27:02 2024 [pid 1553282] CONNECT: Client "199.45.154.16"
Sat Jan  6 15:27:02 2024 [pid 1553282] FTP response: Client "199.45.154.16", "220 Take a file, leave a file."
Sat Jan  6 15:27:02 2024 [pid 1553282] FTP command: Client "199.45.154.16", "????????????!??#?_??NV????ZBV??M??R???E??MU l?"??w??s??]#????Y??w??""
Sat Jan  6 15:27:02 2024 [pid 1553282] FTP response: Client "199.45.154.16", "530 Please login with USER and PASS."
Sat Jan  6 15:27:02 2024 [pid 1553282] FTP command: Client "199.45.154.16"
Sat Jan  6 15:27:02 2024 [pid 1553282] FTP command: Client "199.45.154.16", "G??XP??????3?G???????9?K???????E?????????????#?????+?"
Sat Jan  6 15:27:02 2024 [pid 1553282] FTP response: Client "199.45.154.16", "530 Please login with USER and PASS."
Sat Jan  6 15:27:02 2024 [pid 1553282] FTP command: Client "199.45.154.16", "?$?????,?R?S???????????????'?/???(?0?`?A?V?W?????????????"
Sat Jan  6 15:27:02 2024 [pid 1553282] FTP response: Client "199.45.154.16", "530 Please login with USER and PASS."
Sat Jan  6 15:27:02 2024 [pid 1553282] FTP command: Client "199.45.154.16", "?/?<???????5?=???????A?????????????????????????<MY_HOME_IP>???????????????"
Sat Jan  6 15:27:02 2024 [pid 1553282] FTP response: Client "199.45.154.16", "530 Please login with USER and PASS."
Sat Jan  6 15:27:02 2024 [pid 1553282] FTP command: Client "199.45.154.16", "?"
Sat Jan  6 15:27:02 2024 [pid 1553282] FTP response: Client "199.45.154.16", "530 Please login with USER and PASS."
Sat Jan  6 15:27:03 2024 [pid 1553286] CONNECT: Client "199.45.154.16"
Sat Jan  6 15:27:03 2024 [pid 1553286] FTP response: Client "199.45.154.16", "220 Take a file, leave a file."
Sat Jan  6 15:27:03 2024 [pid 1553286] FTP command: Client "199.45.154.16", "??????????????F?Z?0????YE???L[7I?IQ?]Q????] ?A?3????!"1?h#u??u?K?m????xU?G?????????????????A???????=?5???????<?/?"
Sat Jan  6 15:27:03 2024 [pid 1553286] FTP response: Client "199.45.154.16", "530 Please login with USER and PASS."
Sat Jan  6 15:27:03 2024 [pid 1553286] FTP command: Client "199.45.154.16", "?????????????W?V?A?`?0?(???/?'???????????????S?R?,?????$?"
Sat Jan  6 15:27:03 2024 [pid 1553286] FTP response: Client "199.45.154.16", "530 Please login with USER and PASS."
Sat Jan  6 15:27:03 2024 [pid 1553286] FTP command: Client "199.45.154.16", "?+?????#?????????????E???????K?9???????G?3???????????????<MY_HOME_IP>???????????????"
Sat Jan  6 15:27:03 2024 [pid 1553286] FTP response: Client "199.45.154.16", "530 Please login with USER and PASS."
Sat Jan  6 15:27:03 2024 [pid 1553286] FTP command: Client "199.45.154.16", "?"
Sat Jan  6 15:27:03 2024 [pid 1553286] FTP response: Client "199.45.154.16", "530 Please login with USER and PASS."

anonymous他们只是继续做这样的事情,或者尝试以我已禁用的身份登录。我注意到这些时间戳非常接近,我确信这必须是某种自动化/脚本。AI 建议可以对“命令”进行加密或以某种方式进行混淆,但我认为不会,因为如果我登录并发送合法命令,VSFTPD 会以纯文本形式清楚地记录它们。

我在想有人正在探测旧版本服务器中的漏洞?我读到 VSFTPD 2.3.4 存在一个大问题,所以也许这就是漏洞利用的方式?

我很惊讶在我的 IP 上运行的这台服务器被发现的速度如此之快,并试图确认发生了什么,以及我是否可以采取主动措施来保证它的安全(除了使服务器脱机)。VSFTPD 目前并未被源 IP 锁定,尽管我现在正在考虑这一点。我还读到一些关于人们fail2ban在他们的 FTP 服务器上使用的内容?我从未使用过它,但如果这有帮助,我很感兴趣。

ftp
  • 3 3 个回答
  • 108 Views

3 个回答

  • Voted
  1. harrymc
    2024-01-07T00:29:29+08:002024-01-07T00:29:29+08:00

    互联网上的每个 IP 都会或多或少地被扫描。

    尝试通过使用面向互联网的路由器上的非标准端口,并将其从该端口转发到计算机的正确端口来尽可能隐藏。

    还为您希望在互联网上公开的帐户使用一个好用且复杂的密码。

    • 4
  2. cybernard
    2024-01-09T01:12:21+08:002024-01-09T01:12:21+08:00

    我每天在随机已知端口上轻松获得 1000 个,这是通过 IP 地址阻止(但它仍然记录尝试)

    我喜欢将其视为背景辐射,有大量的自动化机器人,其中一些由黑客运行,一些由安全公司运行。暴露的时间越长,尝试的次数可能就越多。

    在您的网络前面安装 VPN 绝对是比直接暴露更好的选择。

    您应该安装fail2ban,然后在/etc/fail2ban 文件夹中包含有关如何配置jail.local 和/或jail.conf 文件以监视您正在运行的服务的信息。

    如果您继续直接暴露,您最终会引起黑客的注意,他们会尝试利用您的 FTP 服务器。当新版本发布时,您将需要更新它,因为黑客也会阅读发行说明。

    大多数情况下,您会接触到尝试猜测密码或利用 vsftpd 的自动化工具。

    就阻止 IP 而言,将 IP 地址列入白名单比阻止更好,因为您的列表会很快扩大。我一直监控主要是为了满足我的好奇心,但结果却是一份包含110万个永久封禁IP的黑名单。

    • 2
  3. Best Answer
    Ubunfu
    2024-01-08T21:35:55+08:002024-01-08T21:35:55+08:00

    最有可能的是,不,这不是黑客的扫描/探测尝试:

    浏览记录的源 IP 并对它们进行反向 DNS 查找(例如dig -x ip.addr.goes.here),发现大多数IP 解析回主机,这些主机似乎是由合法项目运营的大型扫描仪网络的一部分,该项目特许扫描互联网上正在运行的东西并暴露,确定它们是否容易受到某些攻击,并(据称)如果可能的话通知所有者。

    大多数此类活动很可能是良性的,但密切关注其来源是个好主意。

    到目前为止我已经确定的一些来源是:

    • http://scan-55a.shadowserver.org/
    • https://stretchoid.com/拥有的各种节点
    • https://about.censys.io/拥有的各种节点

    还有其他主动措施可用于防止恶意活动:

    • 安装fail2ban- 在配置的失败登录尝试次数后阻止可疑攻击者
    • 0

相关问题

  • 如何在 IIS 7 中为外部 FTP 服务器使用多个端口号?

  • WinSCP | 升级后在文件列表中切换

  • 如何从 WinSCP 导出文件中获取未加密的 FTP 登录密码?

  • 从 FileZilla 上传文件时实际发生了什么?我们在主持吗?,如果是,它实际上是如何与网络托管服务提供商联系起来的?

  • 是否可以在客户端中使用没有文件系统的 FTP?

Sidebar

Stats

  • 问题 205573
  • 回答 270741
  • 最佳答案 135370
  • 用户 68524
  • 热门
  • 回答
  • Marko Smith

    如何减少“vmmem”进程的消耗?

    • 11 个回答
  • Marko Smith

    从 Microsoft Stream 下载视频

    • 4 个回答
  • Marko Smith

    Google Chrome DevTools 无法解析 SourceMap:chrome-extension

    • 6 个回答
  • Marko Smith

    Windows 照片查看器因为内存不足而无法运行?

    • 5 个回答
  • Marko Smith

    支持结束后如何激活 WindowsXP?

    • 6 个回答
  • Marko Smith

    远程桌面间歇性冻结

    • 7 个回答
  • Marko Smith

    子网掩码 /32 是什么意思?

    • 6 个回答
  • Marko Smith

    鼠标指针在 Windows 中按下的箭头键上移动?

    • 1 个回答
  • Marko Smith

    VirtualBox 无法以 VERR_NEM_VM_CREATE_FAILED 启动

    • 8 个回答
  • Marko Smith

    应用程序不会出现在 MacBook 的摄像头和麦克风隐私设置中

    • 5 个回答
  • Martin Hope
    Vickel Firefox 不再允许粘贴到 WhatsApp 网页中? 2023-08-18 05:04:35 +0800 CST
  • Martin Hope
    Saaru Lindestøkke 为什么使用 Python 的 tar 库时 tar.xz 文件比 macOS tar 小 15 倍? 2021-03-14 09:37:48 +0800 CST
  • Martin Hope
    CiaranWelsh 如何减少“vmmem”进程的消耗? 2020-06-10 02:06:58 +0800 CST
  • Martin Hope
    Jim Windows 10 搜索未加载,显示空白窗口 2020-02-06 03:28:26 +0800 CST
  • Martin Hope
    andre_ss6 远程桌面间歇性冻结 2019-09-11 12:56:40 +0800 CST
  • Martin Hope
    Riley Carney 为什么在 URL 后面加一个点会删除登录信息? 2019-08-06 10:59:24 +0800 CST
  • Martin Hope
    zdimension 鼠标指针在 Windows 中按下的箭头键上移动? 2019-08-04 06:39:57 +0800 CST
  • Martin Hope
    jonsca 我所有的 Firefox 附加组件突然被禁用了,我该如何重新启用它们? 2019-05-04 17:58:52 +0800 CST
  • Martin Hope
    MCK 是否可以使用文本创建二维码? 2019-04-02 06:32:14 +0800 CST
  • Martin Hope
    SoniEx2 更改 git init 默认分支名称 2019-04-01 06:16:56 +0800 CST

热门标签

windows-10 linux windows microsoft-excel networking ubuntu worksheet-function bash command-line hard-drive

Explore

  • 主页
  • 问题
    • 最新
    • 热门
  • 标签
  • 帮助

Footer

AskOverflow.Dev

关于我们

  • 关于我们
  • 联系我们

Legal Stuff

  • Privacy Policy

Language

  • Pt
  • Server
  • Unix

© 2023 AskOverflow.DEV All Rights Reserve