linux user group brescia
immagine del castello

Archivio della mailing list

FTP Scanners

Oliviero Maestrelli o.maestrelli a smea.it
Mar 24 Apr 2001 13:47:58 UTC 
Ho scovato in questi giorni nei file di log del mio serverino due differenti
connessioni al ftp anonimo da parte di alcuni signori che da due differenti
indirizzi 62.178.16.116 e 212.204.150.226 (il primo non risponde) hanno
provato alcune operazioni che non mi sono risultate molto chiare: cd su
directory inesistenti, creazione di directory (a quanto mi sembra fallite
perchè non permesse dalla configurazione dell' anonftp-2.8).
Qui di seguito il log prodotto in /var/log/messages:

Apr 21 08:46:05 LinuxServer ftpd[27080]: PASS guest a here.com
Apr 21 08:46:05 LinuxServer ftpd[27080]: FTP LOGIN FROM
cc38016-b.deven1.ov.nl.home.com [212.204.150.226], ftp
Apr 21 08:46:06 LinuxServer ftpd[27080]: CWD /pub/
Apr 21 08:46:08 LinuxServer ftpd[27080]: MKD 010421083720p
Apr 21 08:46:08 LinuxServer ftpd[27080]: ftp of
cc38016-b.deven1.ov.nl.home.com [212.204.150.226] tried to create directory
/home/ftp/pub/010421083720p (permissions)
Apr 21 08:46:11 LinuxServer ftpd[27080]: CWD /public/
Apr 21 08:46:15 LinuxServer ftpd[27080]: CWD /pub/incoming/
Apr 21 08:46:20 LinuxServer ftpd[27080]: CWD /incoming/
Apr 21 08:46:26 LinuxServer ftpd[27080]: CWD /_vti_pvt/
Apr 21 08:46:33 LinuxServer ftpd[27080]: CWD /
Apr 21 08:46:40 LinuxServer ftpd[27080]: MKD 010421083748p
Apr 21 08:46:40 LinuxServer ftpd[27080]: ftp of
cc38016-b.deven1.ov.nl.home.com [212.204.150.226] tried to create directory
/home/ftp/010421083748p (permissions)
Apr 21 08:46:44 LinuxServer ftpd[27080]: CWD /upload/
Apr 21 08:46:48 LinuxServer ftpd[27080]: CWD /drop box
Apr 21 08:46:52 LinuxServer ftpd[27080]: CWD /dropbox
Apr 21 08:46:55 LinuxServer ftpd[27080]: CWD /www
Apr 21 08:46:58 LinuxServer ftpd[27080]: CWD /incoming/dropbox
Apr 21 08:47:04 LinuxServer ftpd[27080]: CWD /temp
Apr 21 08:47:12 LinuxServer ftpd[27080]: CWD /temporary
Apr 21 08:47:18 LinuxServer ftpd[27080]: FTP session closed

Il file xferlog non riporta traccia di alcuna transazione avvenuta.
Siccome la cosa non mi è sembrata cristallina ho fatto qualche indagine e ho
scoperto che all'indirizzo riportato c'è un sito che presenta una sezione
dedicata al FTP Scanning.
Come prima cosa, appena mi sono fatto l'idea, visto che il servizio era
utile ma non indispensabile, ho fatto chiudere la porta nel firewall.
Innanzitutto mi piacerebbe che qualcuno mi dicesse se il mio è solo un
attacco di paranoia (essendo non proprio navigato su queste cose...).
Allora, se la risposta alla mia precedente domanda è negativa, vorrei capire
se, secondo chi ne può sapere più di me, dato che l'attività fatta mi sembra
non aver avuto effetti:
- posso stare tranquillo che non siano state fatte porcate;
- è meglio che faccia qualche altra analisi della mia macchina;
- a che scopo fare scanning degli FTP (purtoppo qualche idea ce l'ho);
Ciao e grazie,
Oliviero.

Maggiori informazioni sulla lista Lug