Zevaka
@Zevaka

Кто стучится в дверь ко мне?

На домашнем компе установлен фтп-сервер Gene6 FTP Server 3.10. Для собственных нужд: удобно делиться файлами с близкими людьми, не убивая времени на выкладывание их на файл-хостинги, а сразу давая прямую ссылку. Или же, когда требуется принять большой файл, возможно, в несколько присестов.

Домена даже не привязано к нему, доступ по моему внешнему айпи.



Где-то недели две назад стали постоянно поступать входящие соединения от странного IP с интервалом в пять минут. Вот кусок из логов:

31ee043db2da49cfc82e4902cde93dcd.png

(Бан я выставил лишь для символичности, доступ к фтп все равно по логинам и паролям. Насчет моего айпи не удивляйтесь, у меня роутер стоит).



Информации об айпи получить не удалось:

11e1f17559645738efedf6a2cfa05cbd.png



This address is not routable.



Вопрос знатокам: что это может быть?

Не бойтесь тыкать меня носом в какие-нибудь элементарные факты.
  • Вопрос задан
  • 4788 просмотров
Пригласить эксперта
Ответы на вопрос 8
justrestless
@justrestless
Возможно бот индексирующий фтп файлы в локальной сети провайдера.
Правда непонятно как он вас нашел, если только тупым перебором по ip.
Ответ написан
Комментировать
gjf
@gjf
Скорее всего кто-то в локальной сети с Вами пытается залезть на Ваш сервер :)
Ответ написан
Комментировать
@bondbig
Это сосед по сети провайдера/пиринга, скорее всего. Либо спуфленный ip. Забейте, в интернете тысячи ботов, которые только этим и занимаются, что сканят сети в поисках доступных/уязвимых сервисов. Пароли посложнее, по желанию прикрутить автобанилку или ips типа Snort'а и забыть об этом.
Ответ написан
Комментировать
KorP
@KorP
Кратко о себе
Я бы предположил что какой-нить локальный поиск по ftp серверам.
Меня самого такая штука раз в 10 минут дёргает, давно забанил её и забыл :)
А вообще дураков много, у меня fail2ban трудится не покладая рук :)
Ответ написан
lybin
@lybin
looking for remote full time job python backend
linux, белый ип, постоянно в логах не удачная авторизация в.т.ч. ssh и т.п. так что настраивайте файрвол или утилиту которая будет банить кто несколько раз не удачно авторизовался
Ответ написан
Комментировать
Zevaka
@Zevaka Автор вопроса
Уточнение: чуть больше подробностей из Whois по этому айпи.
PRIVATE-ADDRESS-ABLK-RFC1918-IANA-RESERVED (NET-10-0-0-0-1)
Указывает на IANA — Internet Assigned Numbers Authority
www.iana.org/

Не похоже на локального соседа :)
Ответ написан
darkslesh
@darkslesh
Скорее всего это поисковики открытых портов. Если IP где-то засветился в открытую то еще хуже будет.
Сам заметил вещь: никогда никто особо не ломился на комп. Как только прописал его IP в одном из зарегистрированных доменных имен, так сразу стали постоянные попытки коннекта на FTP/HTTP/SSH/MySQL порты. Причем за день на SSH по 5-10 раз с разный IP. раза по 2-3 в сутки на MySQL порт. Лично мне кажется это собирают данные для взломов. Вот люди же сканят диапазоны IP адресов в поисках RDP, а потом проверяют пароли на самые популярные, затем взломанные сервера продают в открытую в инете.
Ответ написан
Комментировать
Nesp
@Nesp
Я как-то поставил открытый прокси без паролей и прочего на стандартном порте для эксперимента. Через сутки там было очень много много много китайцев =)

Выключил а они еще недели две долбились на него.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы