Простые команды, приведенные ниже, помогут обнаружить попытки взлома FTP сервера методом грубой силы, т.е. с помощью «атаки по словарю» или «перебора».
1. Подсчитайте количество запущенных процессов FTP.
Во время атаки методом грубой силы, количество процессов может значительно возрасти.
$ ps -ef | grep -i ftp | grep -v grep -c
2. Проверьте, осуществляется ли атака в реальном времени.
$ tail -f /var/log/vsftpd.log | grep -i "FAIL LOGIN"
ЗАМЕЧАНИЕ: Следующие параметры могут отличаться, в зависимости от Вашей системы:
- /var/log/vsftpd.log — путь к логам FTP;
- FAIL LOGIN — сообщение, которое информирует о попытке подключения к FTP серверу, с использованием неправильного логина или пароля.
- OK LOGIN -сообщение, которое информирует о успешной аутентификации.
3. Получите IP-адрес злоумышленника, путем подсчета количества ответов «FAIL LOGIN».
$ grep "FAIL LOGIN" /var/log/vsftpd.log | grep -Eo '[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}' | sort | uniq -c | sort -rn | more
5. Проверьте, была ли атака успешна, путем поиска в логах сообщения «OK LOGIN» и IP-адреса злоумышленника, например 192.168.1.2.
$ grep -i "OK LOGIN" /var/log/vsftpd.log | grep 192.168.1.2
5. Заблокируйте IP-адрес злоумышленника.
Самый простой способ, это добавить IP-адрес злоумышленника в файл ‘/etc/hosts.deny’.
Вот некоторые примеры:
Заблокировать все сервисы для IP-адреса ‘192.168.1.2’.
ALL: 192.168.1.2
Заблокировать все сервисы для IP-адресов ‘192.168.1.2’ и ‘192.168.1.3’.
ALL: 192.168.1.2 192.168.1.3