Sessione FTP aperta da un IP sconosciuto

2

Ho un sito Web realizzato in Magento e ospitato su un server Ubuntu e da alcuni mesi ho registrato connessioni FTP aperte da IP sconosciuto cercando di aprire il file lic.php. Nel file proftpd.log ho trovato questo record:

FTP session opened.
error opening destination file '/data/myproject.com/www/temp/lic.php' for copying: No such file or directory
error opening destination file '/data/httpd/myproject.com/data/temp/lic.php' for copying: No such file or directory
error opening destination file '/data/web/myproject.com/temp/lic.php' for copying: No such file or directory
error opening destination file '/data/web/myproject.com/web/temp/lic.php' for copying: No such file or directory
error opening destination file '/data/www/html/temp/lic.php' for copying: No such file or directory
error opening destination file '/etc/apache2/htdocs/temp/lic.php' for copying: No such file or directory
error opening destination file '/home/myproject.com/temp/lic.php' for copying: No such file or directory
error opening destination file '/home/myproject.com/public_html/temp/lic.php' for copying: No such file or directory
...
...etc
FTP session closed.

In altre occasioni, stava anche tentando di aprire il file apc.php

È normale o dovrei intervenire?

    
posta Andres Rojas Orozco 16.01.2017 - 19:14
fonte

1 risposta

3

Is this normal

Sì, la ricognizione FTP / SSH e la forza bruta sono piuttosto comuni. Benvenuto nel selvaggio web selvaggio.

or should I take action on it?

Dovresti assolutamente agire. C'è un motivo per cui l'FTP anonimo è stato esposto? Questo è altamente insicuro. I file nel tuo caso non esistono, ma cosa succede se un utente malintenzionato richiede file legittimi come il codice dell'applicazione o i file di sistema come /etc/passwd ?

Questi sono i passi da seguire per evitare questo:

  • Disabilita FTP e utilizza SFTP. SFTP utilizza il tunnel ssh e fornisce sia riservatezza che integrità dei dati durante il transito.
  • Disattiva login anonimi. Attiva l'autenticazione basata su chiave e utilizza i tasti di sicurezza (2048 bit o più). Se le chiavi non funzionano, utilizza la password complessa.
  • Controlla i log FTP per vedere se sono stati rubati dei file legittimi.

Se sei curioso di sapere dove hanno ottenuto il tuo IP e perché vedi questo tipo di traffico, fai riferimento alla mia risposta sui webmaster: link

    
risposta data 16.01.2017 - 21:20
fonte

Leggi altre domande sui tag