Massenhaft komische Anfragen über FTP

B

Brack

Mitglied
Moin,

seit Samstag Mittag sehe ich massig Einträge im Logfile meines FTP Servers:

Code:
IJHI.FOE`QD]ZBOOJL!LOPQT$,,$HFSNBOZ$,,$HFSNBOZ$,,$NJDSPTPGU!XJOEPXT!8!IPNF!QSFNJVN!$,,$BEPCF!GMBTI!QMBZFS$,,$OPTUBMF$,,$2:31$,,$2191$,,$1/4/1$,,$KB$,,$KB$,,$$,,$BENJO$,,$BOUJWJS!EFTLUPQ$,,$$,,$

BLUVFMMFTGFOTUFS$,,$HPPHMF!.!HPPHMF!DISPNF

Hat irgendwer eine Ahnung, was das ist? Google findet zu "BLUVFMMFTGFOTUFS" aktuell noch nichts...

Normal wäre sowas wie "PASV" oder "STOR" oder "RETR"
 
Hi

Also mir sagt das auch nichts..

Hast du denn bedenken dass den Server gehackt wurde? Kannst ja mal mit ngrep oder tcpdump dein Netzwerk Interface abhören, was da so alles passiert..

MFG
 
Mir scheint nicht, dass da wirklich ein Einbruch stattgefunden hat. Der Server hat immer mit Syntax Error (500) quittiert.

Ist halt zum ersten Mal passiert und sah ziemlich merkwürdig aus. Kam von diversesten Rechnern.
 
sieht nach dem Versuch eines Exploits aus. So Du immer schön alle Updates und Patches eingespielt hast - würde ich mir erst mal weniger Sorgen machen, die Sache aber weitere beobachten und forschen, ob die von Dir verwendtete Software überhaupt betroffen ist...

(sieht von der Art her eher nach einer IIS-Geschichte aus...)


... wobei - du würdest eher STOR, PASV, RETR erwarten? Soll heißen, der Login ist bereits erfolgreich gewesen? Dann würde ich mir zumindest man den Usernamen heraussuchen und den entsprechenden User (a) sperren und (b) dort mal nachfragen...
 
Ne, Login war noch nicht erfolgt, ich hab nochmal geguckt. Also haette eher USER/PASS kommen sollen.

Die Eintraege gibts aber auch nur an dem Tag, seither nicht wieder. Neueste Version der Server-Software war installiert.

Von daher denke ich mittlerweile, das war kein Anlass zur Beunruhigung
 

Ähnliche Themen

Squid nur zum maskieren der eigenen IP, nicht für Webserver auf port 80

Zurück
Oben