На домашнем компе установлен фтп-сервер Gene6 FTP Server 3.10. Для собственных нужд: удобно делиться файлами с близкими людьми, не убивая времени на выкладывание их на файл-хостинги, а сразу давая прямую ссылку. Или же, когда требуется принять большой файл, возможно, в несколько присестов.
Домена даже не привязано к нему, доступ по моему внешнему айпи.
Где-то недели две назад стали постоянно поступать входящие соединения от странного IP с интервалом в пять минут. Вот кусок из логов:
(Бан я выставил лишь для символичности, доступ к фтп все равно по логинам и паролям. Насчет моего айпи не удивляйтесь, у меня роутер стоит).
Информации об айпи получить не удалось:
This address is not routable.
Вопрос знатокам: что это может быть?
Не бойтесь тыкать меня носом в какие-нибудь элементарные факты.
Это сосед по сети провайдера/пиринга, скорее всего. Либо спуфленный ip. Забейте, в интернете тысячи ботов, которые только этим и занимаются, что сканят сети в поисках доступных/уязвимых сервисов. Пароли посложнее, по желанию прикрутить автобанилку или ips типа Snort'а и забыть об этом.
Я бы предположил что какой-нить локальный поиск по ftp серверам.
Меня самого такая штука раз в 10 минут дёргает, давно забанил её и забыл :)
А вообще дураков много, у меня fail2ban трудится не покладая рук :)
linux, белый ип, постоянно в логах не удачная авторизация в.т.ч. ssh и т.п. так что настраивайте файрвол или утилиту которая будет банить кто несколько раз не удачно авторизовался
Уточнение: чуть больше подробностей из Whois по этому айпи.
PRIVATE-ADDRESS-ABLK-RFC1918-IANA-RESERVED (NET-10-0-0-0-1)
Указывает на IANA — Internet Assigned Numbers Authority www.iana.org/
Скорее всего это поисковики открытых портов. Если IP где-то засветился в открытую то еще хуже будет.
Сам заметил вещь: никогда никто особо не ломился на комп. Как только прописал его IP в одном из зарегистрированных доменных имен, так сразу стали постоянные попытки коннекта на FTP/HTTP/SSH/MySQL порты. Причем за день на SSH по 5-10 раз с разный IP. раза по 2-3 в сутки на MySQL порт. Лично мне кажется это собирают данные для взломов. Вот люди же сканят диапазоны IP адресов в поисках RDP, а потом проверяют пароли на самые популярные, затем взломанные сервера продают в открытую в инете.
Я как-то поставил открытый прокси без паролей и прочего на стандартном порте для эксперимента. Через сутки там было очень много много много китайцев =)
My<cod/>.net
