URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 18144
[ Назад ]

Исходное сообщение
"Обильное количество FTP сессий"
Отправлено Vasily , 26-Июн-02 12:37

Здрасьте вам.
у меня в /var/log/messages валяться вот такие сообщения
---------------- cut ---------------------
Jun 25 06:33:53 host2 proftpd[15824]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session closed.
Jun 25 06:44:55 host2 proftpd[15991]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session opened.
Jun 25 06:44:55 host2 proftpd[15991]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session closed.
Jun 25 06:44:58 host2 proftpd[15992]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session opened.
Jun 25 06:44:58 host2 proftpd[15993]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session opened.
Jun 25 06:44:58 host2 proftpd[15994]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session opened.
Jun 25 06:44:58 host2 proftpd[15995]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session opened.
Jun 25 06:44:59 host2 proftpd[15992]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session closed.
Jun 25 06:44:59 host2 proftpd[15993]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session closed.
Jun 25 06:44:59 host2 proftpd[15995]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session closed.
Jun 25 06:44:59 host2 proftpd[15994]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session closed.
Jun 25 06:45:07 host2 proftpd[16006]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session opened.
Jun 25 06:45:08 host2 proftpd[16009]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session opened.
Jun 25 06:45:09 host2 proftpd[16006]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session closed.
Jun 25 06:45:14 host2 proftpd[16010]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session opened.
Jun 25 06:45:16 host2 proftpd[16009]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session closed.
Jun 25 06:45:16 host2 proftpd[16010]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session closed.
Jun 25 06:47:21 host2 proftpd[16054]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session opened.
Jun 25 06:47:21 host2 proftpd[16054]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session closed.
Jun 25 06:47:53 host2 proftpd[16069]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session opened.
Jun 25 06:47:53 host2 proftpd[16069]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session closed.
Jun 25 06:48:24 host2 proftpd[16084]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session opened.
Jun 25 06:48:25 host2 proftpd[16084]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session closed.
Jun 25 06:48:39 host2 proftpd[16089]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session opened.
Jun 25 06:48:40 host2 proftpd[16089]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session closed.
Jun 25 06:48:54 host2 proftpd[16090]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session opened.
Jun 25 06:48:55 host2 proftpd[16090]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session closed.
Jun 25 06:49:13 host2 proftpd[16098]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session opened.
Jun 25 06:49:13 host2 proftpd[16098]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session closed.
Jun 25 06:55:46 host2 proftpd[16189]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session opened.
Jun 25 06:55:49 host2 proftpd[16192]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session opened.
Jun 25 06:55:49 host2 proftpd[16193]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session opened.
Jun 25 06:55:50 host2 proftpd[16189]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session closed.
Jun 25 06:55:51 host2 proftpd[16192]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session closed.
------------- cut -------------
это явный скан 21 порта, по моему мнению.
как уберечься от такого ? а то у меня даже inetd загибается ?
sourcse ip addresses меняються, т.е. какой то один закрыть файерволом не представляется возможным, может быть как-то в реал тайме можно это отслеживать ?
подскажите, технологию или тулзы
спасибо
василий

Содержание

RE: Обильное количество FTP сессий,lavr, 12:47 , 26-Июн-02
- RE: Обильное количество FTP сессий,Vasily, 13:02 , 26-Июн-02
  - RE: Обильное количество FTP сессий,falk0n, 14:04 , 26-Июн-02

Сообщения в этом обсуждении

"RE: Обильное количество FTP сессий"
Отправлено lavr , 26-Июн-02 12:47

>Здрасьте вам.
>
>у меня в /var/log/messages валяться вот такие сообщения
>---------------- cut ---------------------
>Jun 25 06:33:53 host2 proftpd[15824]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session closed.
>Jun 25 06:44:55 host2 proftpd[15991]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session opened.
>Jun 25 06:44:55 host2 proftpd[15991]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session closed.
>Jun 25 06:44:58 host2 proftpd[15992]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session opened.
>Jun 25 06:44:58 host2 proftpd[15993]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session opened.
>Jun 25 06:44:58 host2 proftpd[15994]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session opened.
>Jun 25 06:44:58 host2 proftpd[15995]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session opened.
>Jun 25 06:44:59 host2 proftpd[15992]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session closed.
>Jun 25 06:44:59 host2 proftpd[15993]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session closed.
>Jun 25 06:44:59 host2 proftpd[15995]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session closed.
>Jun 25 06:44:59 host2 proftpd[15994]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session closed.
>Jun 25 06:45:07 host2 proftpd[16006]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session opened.
>Jun 25 06:45:08 host2 proftpd[16009]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session opened.
>Jun 25 06:45:09 host2 proftpd[16006]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session closed.
>Jun 25 06:45:14 host2 proftpd[16010]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session opened.
>Jun 25 06:45:16 host2 proftpd[16009]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session closed.
>Jun 25 06:45:16 host2 proftpd[16010]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session closed.
>Jun 25 06:47:21 host2 proftpd[16054]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session opened.
>Jun 25 06:47:21 host2 proftpd[16054]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session closed.
>Jun 25 06:47:53 host2 proftpd[16069]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session opened.
>Jun 25 06:47:53 host2 proftpd[16069]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session closed.
>Jun 25 06:48:24 host2 proftpd[16084]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session opened.
>Jun 25 06:48:25 host2 proftpd[16084]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session closed.
>Jun 25 06:48:39 host2 proftpd[16089]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session opened.
>Jun 25 06:48:40 host2 proftpd[16089]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session closed.
>Jun 25 06:48:54 host2 proftpd[16090]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session opened.
>Jun 25 06:48:55 host2 proftpd[16090]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session closed.
>Jun 25 06:49:13 host2 proftpd[16098]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session opened.
>Jun 25 06:49:13 host2 proftpd[16098]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session closed.
>Jun 25 06:55:46 host2 proftpd[16189]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session opened.
>Jun 25 06:55:49 host2 proftpd[16192]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session opened.
>Jun 25 06:55:49 host2 proftpd[16193]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session opened.
>Jun 25 06:55:50 host2 proftpd[16189]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session closed.
>Jun 25 06:55:51 host2 proftpd[16192]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session closed.
>------------- cut -------------
>это явный скан 21 порта, по моему мнению.
>как уберечься от такого ? а то у меня даже inetd загибается
>?
>sourcse ip addresses меняються, т.е. какой то один закрыть файерволом не
>представляется возможным, может быть как-то в реал тайме можно это отслеживать
>?
>подскажите, технологию или тулзы
ставь SNORT, смотри как SYN FLOOD запретить в стеке TCP/IP
пиши репорты на держателей LIR/AS откуда сие лупится, если это конечно
атака а не какой-то мудак запустил getright с 20 и больше сессий,
сам наблюдал как со 100 и 200 сеансами пущенный getright кладет у
крупных ISP прокси :(
>спасибо
>василий

"RE: Обильное количество FTP сессий"
Отправлено Vasily , 26-Июн-02 13:02

>
>ставь SNORT, смотри как SYN FLOOD запретить в стеке TCP/IP
>пиши репорты на держателей LIR/AS откуда сие лупится, если это конечно
>атака а не какой-то мудак запустил getright с 20 и больше сессий,
>
>сам наблюдал как со 100 и 200 сеансами пущенный getright кладет у
>
>крупных ISP прокси :(
это вряд ли гетрайт, т.к. качать нечего на самом деле, да IP адреса через 100-200 логов меняются
буду ставить snort
кстати в связи с этим у меня вон чего случилось :-(
VFS: file-max limit 8192 reached
ну и сервер goes down :-(
только откуда ? сессии ведь как открываются, так и закрываются
может увеличить до file-max limit 16384 ?

"RE: Обильное количество FTP сессий"
Отправлено falk0n , 26-Июн-02 14:04

А почему бы сначала не запретить всем доступ на ресурс,
а открыть только для определенных ip, и поставить
ограничение ftp сесий.