Кто стучится в дверь ко мне?

Question

[Zevaka]

На домашнем компе установлен фтп-сервер Gene6 FTP Server 3.10. Для собственных нужд: удобно делиться файлами с близкими людьми, не убивая времени на выкладывание их на файл-хостинги, а сразу давая прямую ссылку. Или же, когда требуется принять большой файл, возможно, в несколько присестов.

Домена даже не привязано к нему, доступ по моему внешнему айпи.



Где-то недели две назад стали постоянно поступать входящие соединения от странного IP с интервалом в пять минут. Вот кусок из логов:



(Бан я выставил лишь для символичности, доступ к фтп все равно по логинам и паролям. Насчет моего айпи не удивляйтесь, у меня роутер стоит).



Информации об айпи получить не удалось:





This address is not routable.



Вопрос знатокам: что это может быть?

Не бойтесь тыкать меня носом в какие-нибудь элементарные факты.

Comments

[Zevaka]

Уточнение: чуть больше подробностей из Whois по этому айпи.
PRIVATE-ADDRESS-ABLK-RFC1918-IANA-RESERVED (NET-10-0-0-0-1)
Указывает на IANA — Internet Assigned Numbers Authority
www.iana.org/

Не похоже на локального соседа :)

Answer 1

[justrestless]

Возможно бот индексирующий фтп файлы в локальной сети провайдера.
Правда непонятно как он вас нашел, если только тупым перебором по ip.

Answer 2

[gjf]

Скорее всего кто-то в локальной сети с Вами пытается залезть на Ваш сервер :)

Answer 3

[Sergey]

Это сосед по сети провайдера/пиринга, скорее всего. Либо спуфленный ip. Забейте, в интернете тысячи ботов, которые только этим и занимаются, что сканят сети в поисках доступных/уязвимых сервисов. Пароли посложнее, по желанию прикрутить автобанилку или ips типа Snort'а и забыть об этом.

Answer 4

[Евгений Елизаров]

Я бы предположил что какой-нить локальный поиск по ftp серверам.
Меня самого такая штука раз в 10 минут дёргает, давно забанил её и забыл :)
А вообще дураков много, у меня fail2ban трудится не покладая рук :)

Comments

[Евгений Елизаров]

Посмотреть под каким логином товарищ ломится. Если под анонимусом постоянно — скорее всего так и есть, если логины меняются — соответственно кто то просто пытается подобрать лог/пасс.

Answer 5

[Lev Lybin]

linux, белый ип, постоянно в логах не удачная авторизация в.т.ч. ssh и т.п. так что настраивайте файрвол или утилиту которая будет банить кто несколько раз не удачно авторизовался

Answer 6

[Zevaka]

Уточнение: чуть больше подробностей из Whois по этому айпи.
PRIVATE-ADDRESS-ABLK-RFC1918-IANA-RESERVED (NET-10-0-0-0-1)
Указывает на IANA — Internet Assigned Numbers Authority
www.iana.org/

Не похоже на локального соседа :)

Comments

[justrestless]

Такой локальный IP у большинства провайдеров выдается в локалке.

[Sergey]

Почитайте тот самый rfc1918, почитайте, что за IANA такая загадочная, переведите фразу PRIVATE-ADDRESS хотя бы. И все станет понятно сразу.

[DevMan]

10.0.0.0/8 — This block is set aside for use in private networks.
Its intended use is documented in [RFC1918]. Addresses within this
block should not appear on the public Internet.

Answer 7

[darkslesh]

Скорее всего это поисковики открытых портов. Если IP где-то засветился в открытую то еще хуже будет.
Сам заметил вещь: никогда никто особо не ломился на комп. Как только прописал его IP в одном из зарегистрированных доменных имен, так сразу стали постоянные попытки коннекта на FTP/HTTP/SSH/MySQL порты. Причем за день на SSH по 5-10 раз с разный IP. раза по 2-3 в сутки на MySQL порт. Лично мне кажется это собирают данные для взломов. Вот люди же сканят диапазоны IP адресов в поисках RDP, а потом проверяют пароли на самые популярные, затем взломанные сервера продают в открытую в инете.

Answer 8

[Nesp]

Я как-то поставил открытый прокси без паролей и прочего на стандартном порте для эксперимента. Через сутки там было очень много много много китайцев =)

Выключил а они еще недели две долбились на него.