Обнаружение Атаки Методом Грубой Силы на FTP

Простые команды, приведенные ниже, помогут обнаружить попытки взлома FTP сервера методом грубой силы, т.е. с помощью «атаки по словарю» или «перебора».

1. Подсчитайте количество запущенных процессов FTP.

Во время атаки методом грубой силы, количество процессов может значительно возрасти.

$ ps -ef | grep -i ftp | grep -v grep -c

2. Проверьте, осуществляется ли атака в реальном времени.

$ tail -f /var/log/vsftpd.log | grep -i "FAIL LOGIN"

ЗАМЕЧАНИЕ: Следующие параметры могут отличаться, в зависимости от Вашей системы:

  • /var/log/vsftpd.log — путь к логам FTP;
  • FAIL LOGIN — сообщение, которое информирует о попытке подключения к FTP серверу, с использованием неправильного логина или пароля.
  • OK LOGIN -сообщение, которое информирует о успешной аутентификации.

3. Получите IP-адрес злоумышленника, путем подсчета количества ответов «FAIL LOGIN».

$ grep "FAIL LOGIN" /var/log/vsftpd.log | grep -Eo '[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}' | sort | uniq -c | sort -rn | more

5. Проверьте, была ли атака успешна, путем поиска в логах сообщения «OK LOGIN» и IP-адреса злоумышленника, например 192.168.1.2.

$ grep -i "OK LOGIN" /var/log/vsftpd.log | grep 192.168.1.2

5. Заблокируйте IP-адрес злоумышленника.

Самый простой способ, это добавить IP-адрес злоумышленника в файл ‘/etc/hosts.deny’.

Вот некоторые примеры:

Заблокировать все сервисы для IP-адреса ‘192.168.1.2’.

ALL: 192.168.1.2

Заблокировать все сервисы для IP-адресов ‘192.168.1.2’ и ‘192.168.1.3’.

ALL: 192.168.1.2 192.168.1.3