[xciso]

Tja.
Satt och gick igenom lite loggfiler på min vps.
Kollade i filen var/log/proftpd/auth.log och fick se detta.

Kod:

ProFTPd [32239] 213.219.108.157 [06/Feb/2009:16:10:54 +0100] "PASS (hidden)" 530
ProFTPd [32239] 213.219.108.157 [06/Feb/2009:16:10:54 +0100] "USER Administrator" 331
ProFTPd [32242] 213.219.108.157 [06/Feb/2009:16:10:55 +0100] "USER Administrator" 331
ProFTPd [32242] 213.219.108.157 [06/Feb/2009:16:10:55 +0100] "PASS (hidden)" 530
ProFTPd [32242] 213.219.108.157 [06/Feb/2009:16:10:55 +0100] "USER Administrator" 331
ProFTPd [32242] 213.219.108.157 [06/Feb/2009:16:10:55 +0100] "PASS (hidden)" 530
ProFTPd [32242] 213.219.108.157 [06/Feb/2009:16:10:55 +0100] "USER Administrator" 331
ProFTPd [32251] 213.219.108.157 [06/Feb/2009:16:10:56 +0100] "USER Administrator" 331
ProFTPd [32251] 213.219.108.157 [06/Feb/2009:16:10:56 +0100] "PASS (hidden)" 530
ProFTPd [32251] 213.219.108.157 [06/Feb/2009:16:10:59 +0100] "USER Administrator" 331
ProFTPd [32251] 213.219.108.157 [06/Feb/2009:16:10:59 +0100] "PASS (hidden)" 530
ProFTPd [32251] 213.219.108.157 [06/Feb/2009:16:11:00 +0100] "USER Administrator" 331
ProFTPd [32309] 213.219.108.157 [06/Feb/2009:16:11:12 +0100] "USER Administrator" 331
ProFTPd [32309] 213.219.108.157 [06/Feb/2009:16:11:13 +0100] "PASS (hidden)" 530
ProFTPd [32309] 213.219.108.157 [06/Feb/2009:16:11:13 +0100] "USER Administrator" 331
ProFTPd [32309] 213.219.108.157 [06/Feb/2009:16:11:13 +0100] "PASS (hidden)" 530
ProFTPd [32309] 213.219.108.157 [06/Feb/2009:16:11:13 +0100] "USER Administrator" 331
ProFTPd [32353] 213.219.108.157 [06/Feb/2009:16:11:13 +0100] "USER Administrator" 331
ProFTPd [32353] 213.219.108.157 [06/Feb/2009:16:11:13 +0100] "PASS (hidden)" 530
ProFTPd [32353] 213.219.108.157 [06/Feb/2009:16:11:14 +0100] "USER Administrator" 331
ProFTPd [32353] 213.219.108.157 [06/Feb/2009:16:11:15 +0100] "PASS (hidden)" 530
ProFTPd [32353] 213.219.108.157 [06/Feb/2009:16:11:15 +0100] "USER Administrator" 331
ProFTPd [32374] 213.219.108.157 [06/Feb/2009:16:11:16 +0100] "USER Administrator" 331
ProFTPd [32374] 213.219.108.157 [06/Feb/2009:16:11:16 +0100] "PASS (hidden)" 530
ProFTPd [32374] 213.219.108.157 [06/Feb/2009:16:11:16 +0100] "USER Administrator" 331
ProFTPd [32374] 213.219.108.157 [06/Feb/2009:16:11:16 +0100] "PASS (hidden)" 530
ProFTPd [32374] 213.219.108.157 [06/Feb/2009:16:11:17 +0100] "USER Administrator" 331
ProFTPd [32572] 213.219.108.157 [06/Feb/2009:16:12:05 +0100] "USER Administrator" 331
ProFTPd [32572] 213.219.108.157 [06/Feb/2009:16:12:05 +0100] "PASS (hidden)" 530
ProFTPd [32572] 213.219.108.157 [06/Feb/2009:16:12:06 +0100] "USER Administrator" 331
ProFTPd [32572] 213.219.108.157 [06/Feb/2009:16:12:06 +0100] "PASS (hidden)" 530
ProFTPd [32572] 213.219.108.157 [06/Feb/2009:16:12:06 +0100] "USER Administrator" 331
ProFTPd [32578] 213.219.108.157 [06/Feb/2009:16:12:06 +0100] "USER Administrator" 331
ProFTPd [32578] 213.219.108.157 [06/Feb/2009:16:12:06 +0100] "PASS (hidden)" 530
ProFTPd [32578] 213.219.108.157 [06/Feb/2009:16:12:08 +0100] "USER Administrator" 331
ProFTPd [32578] 213.219.108.157 [06/Feb/2009:16:12:08 +0100] "PASS (hidden)" 530
ProFTPd [32578] 213.219.108.157 [06/Feb/2009:16:12:08 +0100] "USER Administrator" 331
ProFTPd [32594] 213.219.108.157 [06/Feb/2009:16:12:10 +0100] "USER Administrator" 331
ProFTPd [32594] 213.219.108.157 [06/Feb/2009:16:12:10 +0100] "PASS (hidden)" 530
ProFTPd [32594] 213.219.108.157 [06/Feb/2009:16:12:11 +0100] "USER Administrator" 331
ProFTPd [32594] 213.219.108.157 [06/Feb/2009:16:12:11 +0100] "PASS (hidden)" 530
ProFTPd [32594] 213.219.108.157 [06/Feb/2009:16:12:11 +0100] "USER Administrator" 331
ProFTPd [17973] 213.64.25.37 [07/Feb/2009:00:51:21 +0100] "USER KOMPIS SOM LAGGAT IN" 331
ProFTPd [17973] 213.64.25.37 [07/Feb/2009:00:51:21 +0100] "PASS (hidden)" 230
ProFTPd [19547] 83.226.250.78 [07/Feb/2009:00:52:34 +0100] "USER KOMPIS SOM LOAGGAT IN" 331
ProFTPd [19547] 83.226.250.78 [07/Feb/2009:00:52:34 +0100] "PASS (hidden)" 230
ProFTPd [5130] 213.64.25.37 [07/Feb/2009:01:45:09 +0100] "USER KOMPIS SOM LAGGAT IN" 331
ProFTPd [5130] 213.64.25.37 [07/Feb/2009:01:45:09 +0100] "PASS (hidden)" 230
ProFTPd [25805] 81.235.155.130 [07/Feb/2009:04:49:56 +0100] "USER JAG SOM LOGGAT IN" 331
ProFTPd [25805] 81.235.155.130 [07/Feb/2009:04:49:56 +0100] "PASS (hidden)" 230

ip nummer 213.219.108.157 spåras till estland, och där känner jag ingen som ska få logga in..
Är detta ett försök till intrång? Kan man förhindra detta på något sätt? Vad bör man göra åt det?

[foks]

Ja, det ser ut som ett försök till intrång. Men så länge du använder vettiga passwords (som inte finns med i någon ordlista) och håller servern uppdaterad kommer det att stanna vid intrångsförsök och det får man leva med.

[xciso]

OK. Självklart använder man bra lösenord med både bokstäver och siffror

[emilv]

Driver du en FTP-server får du räkna med detta. Se till att inte ha någon användare som heter administrator, admin eller root på FTP:n så kommer 99% av attackerna misslyckas redan på användarnamnet. Har du ett bra lösenord misslyckas även den sista procenten.

Är du ändå orolig så kan du köra FTP på en annan port istället.

[Lindahl]

I vissa serverprogramvaror kan man även ställa in så att ip-adresser spärras en viss tid om de angivit felaktigt lösenord flera gånger i följd.

[KristianE]

Installera Fail2Ban så bannar du automatiskt IP't i
x min efter x misslyckade försök.

Default-konfigurationen stödjer ProFTP såvitt jag kan
se.

[vidir]

Du kan så gott som spärra "ip range" från alla forna öst baltikum, vi har endast fått massa skit från dessa länder, där finns inga potentionella kunder uta de är bara ute efter pengar..

[taz76]

... och undvik lösenord som "gud" eller ja.. "gud1" eftersom du skrev du körde med bokstäver och siffror h34r:

[KristianE]

Givetvis ska lösenord vara runt 15 tkn
långa och innehålla tecken från alla
olika grupper:
versaler (A)
gemener (y)
siffror (5)
symboler ($)

Den femte gruppen ÅÄÖ är inte helt tokig
om man sitter med svenskt tangentbord.

[hundserver]

samt inte använda vanliga användarnamn som ex admin,administrator,webmaster osv,