Abbiamo un server ftp pubblico che viene analizzato dalle solite scansioni cinesi di forza bruta. Stanno sondando vsftpd. In breve un login fallito su vsftpd è simile a questo in syslog:
Mar 17 15:56:07 cache0001 vsftpd: ftp_set_login_id - unable to esd_decode: root
Mar 17 15:56:07 cache0001 vsftpd: ftp_authenticate failed - invalid login_id format: root ip: 10.90.3.193
Mar 17 15:56:07 cache0001 vsftpd: Mon Mar 17 15:56:07 2014 [pid 13327] [root] FAIL LOGIN: Client "10.90.3.193"
Questi accessi sono simili a questo:
Mar 17 10:20:47 cache0001 vsftpd: Mon Mar 17 10:20:47 2014 [pid 10095] CONNECT: Client "61.147.76.54"
Mar 17 10:20:47 cache0001 vsftpd: ftp_authenticate failed - expired password: 2848358251 DTM20140317045711MjMxMzM1Nzk1 ip: 61.147.76.54 Current: DTM20140317102047
Mar 17 10:20:47 cache0001 vsftpd: Mon Mar 17 10:20:47 2014 [pid 10095] [NTg3NTEwMTY1PDI4NDgzNTgyNTE+MjUxODUwNjU4] FAIL LOGIN: Client "61.147.76.54"
Non sei sicuro di cosa viene registrato qui, non esiste una riga "login_id non valida", nessun perché "password scaduta"?
Questo utente sta tentando di utilizzare lo script Metasploit per le vulnerabilità di vsftpd che erano fuori tempo fa?
Grazie -w