eika
Silver Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ребят, прошу помочь. Не могу понять, что за фигня. Значит, есть FTP, публично доступный через Интернет. На него ходят юзеры. Есть анонимы, а есть доверенные лица (от которых ожидать хулиганства не приходится). Всем разрешен upload. Так вот. Периодически (несколько раз в неделю или даже день) кто-то загружает в корень FTP маленькие текстовые файлы, содержащие внутри себя лишь свое собественное имя (включая расширение). Раньше такие файлы загружались только от анонимов и я списывал все на чье-то желание хакнуть FTP, но недавно такое действие было выполнено с помощью логина доверенного пользователя 'vasya'. Выглядело все это вот так:
Код: 09/05/13 09:46:38, 2536, xxx.53.28.138, , new connection from xxx.53.28.138 on xxx.xxx.xxx.xxx:21
09/05/13 09:46:38, 2536, xxx.53.28.138, , sending welcome message.
09/05/13 09:46:38, 2536, xxx.53.28.138, , 220
09/05/13 09:46:38, 2536, xxx.53.28.138, ,
09/05/13 09:46:38, 2536, xxx.53.28.138, , WELCOME!
09/05/13 09:46:38, 2536, xxx.53.28.138, ,
09/05/13 09:46:38, 2536, xxx.53.28.138, , 220
09/05/13 09:46:39, 2536, xxx.53.28.138, , USER vasya
09/05/13 09:46:39, 2536, xxx.53.28.138, vasya, 331 Password required for vasya.
09/05/13 09:46:39, 2536, xxx.53.28.138, vasya, PASS ****
09/05/13 09:46:39, 2536, xxx.53.28.138, vasya, logged in as "vasya".
09/05/13 09:46:39, 2536, xxx.53.28.138, vasya, 230 User vasya logged
09/05/13 09:46:39, 2536, xxx.53.28.138, vasya, TYPE I
09/05/13 09:46:39, 2536, xxx.53.28.138, vasya, 200 Type set to I.
09/05/13 09:46:39, 2536, xxx.53.28.138, vasya, PASV
09/05/13 09:46:39, 2536, xxx.53.28.138, vasya, 227 Entering Passive Mode (xxx,xxx,xxx,xxx,31,64)
09/05/13 09:46:40, 2536, xxx.53.28.138, vasya, STOR google9mae0xef0vi1ei.txt
09/05/13 09:46:40, 2536, xxx.53.28.138, vasya, asked to upload '/google9mae0xef0vi1ei.txt' -> '\LOCALPATH\google9mae0xef0vi1ei.txt' resuming at 0 --> Access allowed.
09/05/13 09:46:40, 2536, xxx.53.28.138, vasya, 150 Data connection accepted from xxx.53.28.138:1338; transfer starting for /google9mae0xef0vi1ei.txt
09/05/13 09:46:40, 2536, xxx.53.28.138, vasya, finished uploading '/google9mae0xef0vi1ei.txt' -> '\LOCALPATH\google9mae0xef0vi1ei.txt' from 0 to 24 (00:00:01 - 0,023 KBytes/s).
09/05/13 09:46:40, 2536, xxx.53.28.138, vasya, 226 File received ok.
09/05/13 09:46:40, 2536, xxx.53.28.138, vasya, SIZE google9mae0xef0vi1ei.txt
09/05/13 09:46:40, 2536, xxx.53.28.138, vasya, 213 24
09/05/13 09:46:41, 2536, xxx.53.28.138, vasya, DELE google9mae0xef0vi1ei.txt
09/05/13 09:46:41, 2536, xxx.53.28.138, vasya, delete file '/google9mae0xef0vi1ei.txt' -> '\LOCALPATH\google9mae0xef0vi1ei.txt' --> Access denied.
09/05/13 09:46:41, 2536, xxx.53.28.138, vasya, 550 Cannot DELE. No permission.
09/05/13 09:46:42, 2536, xxx.53.28.138, vasya, PASV
09/05/13 09:46:42, 2536, xxx.53.28.138, vasya, 227 Entering Passive Mode (xxx,xxx,xxx,xxx,31,64)
09/05/13 09:46:42, 2536, xxx.53.28.138, vasya, LIST
09/05/13 09:46:42, 2536, xxx.53.28.138, vasya, 150 Data connection accepted from xxx.53.28.138:1350; transfer starting.
09/05/13 09:46:42, 2536, xxx.53.28.138, vasya, 226 Transfer ok.
09/05/13 09:46:42, 2536, xxx.53.28.138, vasya, disconnected. (00d00:00:04) |
Имена этих "спам"-файлов раньше начинались с "myfile", а далее имели еще десяток-полтора рандомно сгенерированных символов. Потом я этот префикс забанил. Но спустя пару недель пошли имена с префиксом "google".
Внимание, вопрос!
Что это может быть?
Раньше я думал, что может какой-то бот, но откуда боту узнать логин доверенного юзера?
FTP-вирус чтоли, который выдирает пароли из настроек FTP-клиентов? Зачем тогда он пытается удалить файл за собой (т.к. команда DELE запрещена, у него это не получается)?
Может какой-то кривой FTP-клиент? |
