Massenhaft komische Anfragen über FTP

Dieses Thema im Forum "Security Talk" wurde erstellt von Brack, 13.02.2011.

  1. Brack

    Brack Mitglied

    Dabei seit:
    28.01.2005
    Beiträge:
    45
    Zustimmungen:
    0
    Moin,

    seit Samstag Mittag sehe ich massig Einträge im Logfile meines FTP Servers:

    Code:
    IJHI.FOE`QD]ZBOOJL!LOPQT$,,$HFSNBOZ$,,$HFSNBOZ$,,$NJDSPTPGU!XJOEPXT!8!IPNF!QSFNJVN!$,,$BEPCF!GMBTI!QMBZFS$,,$OPTUBMF$,,$2:31$,,$2191$,,$1/4/1$,,$KB$,,$KB$,,$$,,$BENJO$,,$BOUJWJS!EFTLUPQ$,,$$,,$
    
    BLUVFMMFTGFOTUFS$,,$HPPHMF!.!HPPHMF!DISPNF
    
    Hat irgendwer eine Ahnung, was das ist? Google findet zu "BLUVFMMFTGFOTUFS" aktuell noch nichts...

    Normal wäre sowas wie "PASV" oder "STOR" oder "RETR"
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. #2 Remidemi, 13.02.2011
    Remidemi

    Remidemi Routinier

    Dabei seit:
    17.03.2008
    Beiträge:
    352
    Zustimmungen:
    0
    Ort:
    Südpfalz
    Hi

    Also mir sagt das auch nichts..

    Hast du denn bedenken dass den Server gehackt wurde? Kannst ja mal mit ngrep oder tcpdump dein Netzwerk Interface abhören, was da so alles passiert..

    MFG
     
  4. Brack

    Brack Mitglied

    Dabei seit:
    28.01.2005
    Beiträge:
    45
    Zustimmungen:
    0
    Mir scheint nicht, dass da wirklich ein Einbruch stattgefunden hat. Der Server hat immer mit Syntax Error (500) quittiert.

    Ist halt zum ersten Mal passiert und sah ziemlich merkwürdig aus. Kam von diversesten Rechnern.
     
  5. marce

    marce Kaiser

    Dabei seit:
    01.08.2007
    Beiträge:
    1.053
    Zustimmungen:
    8
    sieht nach dem Versuch eines Exploits aus. So Du immer schön alle Updates und Patches eingespielt hast - würde ich mir erst mal weniger Sorgen machen, die Sache aber weitere beobachten und forschen, ob die von Dir verwendtete Software überhaupt betroffen ist...

    (sieht von der Art her eher nach einer IIS-Geschichte aus...)


    ... wobei - du würdest eher STOR, PASV, RETR erwarten? Soll heißen, der Login ist bereits erfolgreich gewesen? Dann würde ich mir zumindest man den Usernamen heraussuchen und den entsprechenden User (a) sperren und (b) dort mal nachfragen...
     
  6. Brack

    Brack Mitglied

    Dabei seit:
    28.01.2005
    Beiträge:
    45
    Zustimmungen:
    0
    Ne, Login war noch nicht erfolgt, ich hab nochmal geguckt. Also haette eher USER/PASS kommen sollen.

    Die Eintraege gibts aber auch nur an dem Tag, seither nicht wieder. Neueste Version der Server-Software war installiert.

    Von daher denke ich mittlerweile, das war kein Anlass zur Beunruhigung
     
Thema:

Massenhaft komische Anfragen über FTP

Die Seite wird geladen...

Massenhaft komische Anfragen über FTP - Ähnliche Themen

  1. Amarok - komisches Verhalten bzgl. Mp3 über Netzwerk

    Amarok - komisches Verhalten bzgl. Mp3 über Netzwerk: Hallo Community, wie im Titel genannt, "knackt" Amarok ganz kurz und dann höre ich nichts mehr wenn ich eine MP3 übers Netzwerk abspielen möchte....
  2. Debian: Komisches Verhalten des Servers

    Debian: Komisches Verhalten des Servers: Hallo Zusammen Ich habe ein Server unter Deiban 5 Lenny eingerichtet und zwei Domains. Die eigentliche Serveradresse ist eine IP, welche über...
  3. Komisches Problem bei updaten des Systems

    Komisches Problem bei updaten des Systems: [solved] Komisches Problem bei updaten des Systems Ich bekomme folgende Fehlermeldung wenn er versucht, das Paket akonadi-server zu installieren....
  4. Komischer Eintrag in access.log

    Komischer Eintrag in access.log: Hallo, kann jemand deuten, wie sowas "^@^@" passiert? Die erste Zeile ist okay, dann kommen diese Zeichen, die die IP der nächsten Zeile...
  5. komischer scope operation

    komischer scope operation: Hi Leute, ich arbeite mich gerade in eine Lib ein. hs und as sind schon im system drin und auch ein kleines beispielprogramm läuft. Nur komisch...