FTP帐户被黑客入侵但没有损坏完成的神秘故事

时间:2014-02-07 08:06:32

标签: ftp bots intrusion-detection

我朋友的网络服务器遭到黑客入侵,但没有任何妥协。这是我每天的福尔摩斯故事:

我朋友的托管服务提供商发送了一封电子邮件,说明他们发现了服务器上的所有文件,因为他们发现了FTP日志条目。 我的朋友从来没有使用他的FTP访问,而是用一些前端构造套件组装他的网站。所以我们不知道FTP密码是如何泄露的。 现在,该构造工具包生成的文件是静态HTML文件,除了一些支持flash包含的JS文件之外没有任何动态。 看着文件,我看到没什么不寻常的;我们告诉托管服务提供商,他们同意了,再次使用了所有文件,网站再次启动。

这是他们发给我们的日志:

ftp.log:.....[03/Feb/2014:16:55:59 +0100] "PASS (hidden)" 230 -
ftp.log:.....[03/Feb/2014:16:55:59 +0100] "TYPE I" 200 -
ftp.log:.....[03/Feb/2014:16:55:59 +0100] "SYST" 215 -
ftp.log:.....[03/Feb/2014:16:55:59 +0100] "PWD" 257 -
ftp.log:.....[03/Feb/2014:16:55:59 +0100] "PWD" 257 -
ftp.log:.....[03/Feb/2014:16:55:59 +0100] "CWD /somecontenfolder" 250 -
ftp.log:.....[03/Feb/2014:16:55:59 +0100] "CWD /" 250 -
ftp.log:.....[03/Feb/2014:16:55:59 +0100] "PASV" 227 -
ftp.log:.....[03/Feb/2014:16:55:59 +0100] "STOR /somecontenfolder/live_tinc.js" 226 4931
ftp.log:.....[03/Feb/2014:16:55:59 +0100] "PASV" 227 -
ftp.log:.....[03/Feb/2014:16:55:59 +0100] "STOR /somecontenfolder/runActiveContent.js" 226 921
ftp.log:.....[03/Feb/2014:16:55:59 +0100] "PWD" 257 -
ftp.log:.....[03/Feb/2014:16:55:59 +0100] "CWD /somecontenfolder/images" 250 -
ftp.log:.....[03/Feb/2014:16:55:59 +0100] "CWD /" 250 -
ftp.log:.....[03/Feb/2014:16:55:59 +0100] "PWD" 257 -
ftp.log:.....[03/Feb/2014:16:55:59 +0100] "CWD /somecontentfolder/images/static" 250 -
ftp.log:.....[03/Feb/2014:16:55:59 +0100] "CWD /" 250 -
ftp.log:.....[03/Feb/2014:16:55:59 +0100] "PWD" 257 -
ftp.log:.....[03/Feb/2014:16:55:59 +0100] "CWD /somecontenfolder/images/dynamic" 250 -
ftp.log:.....[03/Feb/2014:16:55:59 +0100] "CWD /" 250 -
ftp.log:.....[03/Feb/2014:16:55:59 +0100] "PWD" 257 -
ftp.log:.....[03/Feb/2014:16:55:59 +0100] "CWD /somecontenfolder/colorschemes" 250 -
ftp.log:.....[03/Feb/2014:16:55:59 +0100] "CWD /" 250 -
ftp.log:.....[03/Feb/2014:16:55:59 +0100] "PWD" 257 -
ftp.log:.....[03/Feb/2014:16:55:59 +0100] "CWD /somecontentfolder/colorschemes/colorscheme1" 250 -
ftp.log:.....[03/Feb/2014:16:55:59 +0100] "CWD /" 250 -
ftp.log:.....[03/Feb/2014:16:55:59 +0100] "PASV" 227 -
ftp.log:.....[03/Feb/2014:16:55:59 +0100] "STOR /somecontentfoler/main.css" 226 7363

所以我想出的最佳猜测是:

这个FTP帐户确实被黑了,可能。蛮力。 FTP命令的发布速度肯定指向机器人。该机器人遍历目录,但没有做任何事情/任何损害 - 可能正在寻找这里不存在的PHP文件。

有没有人在看到和阅读时有类似/其他见解?也许有类似的经历?

1 个答案:

答案 0 :(得分:0)

如果你问它在做什么,我猜猜机器人没有达到它造成伤害的先决条件。它可能正在寻找任何可能使其进一步访问您的计算机的东西。

相关问题
最新问题