我最近在我的个人服务器上设置了 VSFTPD,以便通过 FTP 共享文件。在 vsftpd.log 文件中,我看到数百次使用“adminitrator”、“adminitrator1”、“adminitrator2”、“adminitrator123”等用户名登录失败的尝试。
我很惊讶,因为我刚刚设置了我的 FTP 服务器,我认为没有人会知道它的存在。我没有告诉任何人我的 FTP 服务器存在。
我猜用端口扫描工具,会发现 FTP 端口是开放的。但是我想知道如何获得我的IP。
我下载了一个 torrent 文件,这会暴露我的 IP 地址吗?
攻击者从洪流跟踪器或其他服务中获取 IP 地址是否很常见?知道攻击者如何获取 IP 地址吗?(例如垃圾邮件 - 垃圾邮件机器人用于收集电子邮件 ID)
任何新来者保护服务器的一般指针(书籍、视频、totorials、博客等)
您无需了解他们是如何获得您的 IP 的 - 整个 Internet 都在不断地被恶意个人、机器人等扫描。如果您在 Internet 上有一个 FTP 服务器,这些扫描中的一个会找到它以及一系列的攻击企图将开始。
您的缺点是 - 您无法保护 FTP 服务器。FTP 并非旨在提供加密或强身份验证,因此已被弃用。
建议将其替换为 SFTP 等安全替代方案之一,或仅通过 SSH 提供对其的访问。好消息是 - SFTP 几乎可以替代大多数操作系统。
更新- 实际上,您使用的是 vsftpd,因此您可以配置 ftps 以添加身份验证和加密。查看http://viki.brainsware.org/?en/Explicit_FTPS
您可以做的另一件事是添加 iptables 'bruteforce' 规则。这将允许 ip在y秒内建立x次新连接。达到这些限制后,数据包将被丢弃。这可以防止蛮力持续攻击您的服务器。我对常见的扫描端口(如 FTP、SSH、IMAP、POP3、SMTP 等)有此类保护......
我使用的规则示例:
iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --set --name BRUTEFORCE
iptables -A INPUT -i eth0 -p tcp --dport 21 -m state --state NEW -m recent --set --name BRUTEFORCE
iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 8 --rttl --name BRUTEFORCE -j DROP
有很多程序在互联网上搜寻易受攻击的主机。当然,有些人会以他们的攻击为目标——但从洪流日志开始不会产生非常有趣的目标。
查看sans.org站点,了解有关保护服务器的基本清单。