The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Обильное количество FTP сессий"
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"Обильное количество FTP сессий"
Сообщение от Vasily emailИскать по авторуВ закладки on 26-Июн-02, 12:37  (MSK)
Здрасьте вам.

у меня в /var/log/messages валяться вот такие сообщения
---------------- cut ---------------------
Jun 25 06:33:53 host2 proftpd[15824]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session closed.
Jun 25 06:44:55 host2 proftpd[15991]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session opened.
Jun 25 06:44:55 host2 proftpd[15991]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session closed.
Jun 25 06:44:58 host2 proftpd[15992]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session opened.
Jun 25 06:44:58 host2 proftpd[15993]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session opened.
Jun 25 06:44:58 host2 proftpd[15994]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session opened.
Jun 25 06:44:58 host2 proftpd[15995]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session opened.
Jun 25 06:44:59 host2 proftpd[15992]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session closed.
Jun 25 06:44:59 host2 proftpd[15993]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session closed.
Jun 25 06:44:59 host2 proftpd[15995]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session closed.
Jun 25 06:44:59 host2 proftpd[15994]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session closed.
Jun 25 06:45:07 host2 proftpd[16006]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session opened.
Jun 25 06:45:08 host2 proftpd[16009]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session opened.
Jun 25 06:45:09 host2 proftpd[16006]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session closed.
Jun 25 06:45:14 host2 proftpd[16010]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session opened.
Jun 25 06:45:16 host2 proftpd[16009]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session closed.
Jun 25 06:45:16 host2 proftpd[16010]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session closed.
Jun 25 06:47:21 host2 proftpd[16054]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session opened.
Jun 25 06:47:21 host2 proftpd[16054]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session closed.
Jun 25 06:47:53 host2 proftpd[16069]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session opened.
Jun 25 06:47:53 host2 proftpd[16069]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session closed.
Jun 25 06:48:24 host2 proftpd[16084]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session opened.
Jun 25 06:48:25 host2 proftpd[16084]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session closed.
Jun 25 06:48:39 host2 proftpd[16089]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session opened.
Jun 25 06:48:40 host2 proftpd[16089]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session closed.
Jun 25 06:48:54 host2 proftpd[16090]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session opened.
Jun 25 06:48:55 host2 proftpd[16090]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session closed.
Jun 25 06:49:13 host2 proftpd[16098]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session opened.
Jun 25 06:49:13 host2 proftpd[16098]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session closed.
Jun 25 06:55:46 host2 proftpd[16189]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session opened.
Jun 25 06:55:49 host2 proftpd[16192]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session opened.
Jun 25 06:55:49 host2 proftpd[16193]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session opened.
Jun 25 06:55:50 host2 proftpd[16189]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session closed.
Jun 25 06:55:51 host2 proftpd[16192]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session closed.
------------- cut -------------
это явный скан 21 порта, по моему мнению.
как уберечься от такого ? а то у меня даже inetd загибается ?
sourcse  ip addresses меняються, т.е. какой то один закрыть файерволом не представляется возможным, может быть как-то в реал тайме можно это отслеживать ?
подскажите, технологию или тулзы

спасибо
василий

  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "RE: Обильное количество FTP сессий"
Сообщение от lavr emailИскать по авторуВ закладки on 26-Июн-02, 12:47  (MSK)
>Здрасьте вам.
>
>у меня в /var/log/messages валяться вот такие сообщения
>---------------- cut ---------------------
>Jun 25 06:33:53 host2 proftpd[15824]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session closed.
>Jun 25 06:44:55 host2 proftpd[15991]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session opened.
>Jun 25 06:44:55 host2 proftpd[15991]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session closed.
>Jun 25 06:44:58 host2 proftpd[15992]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session opened.
>Jun 25 06:44:58 host2 proftpd[15993]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session opened.
>Jun 25 06:44:58 host2 proftpd[15994]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session opened.
>Jun 25 06:44:58 host2 proftpd[15995]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session opened.
>Jun 25 06:44:59 host2 proftpd[15992]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session closed.
>Jun 25 06:44:59 host2 proftpd[15993]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session closed.
>Jun 25 06:44:59 host2 proftpd[15995]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session closed.
>Jun 25 06:44:59 host2 proftpd[15994]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session closed.
>Jun 25 06:45:07 host2 proftpd[16006]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session opened.
>Jun 25 06:45:08 host2 proftpd[16009]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session opened.
>Jun 25 06:45:09 host2 proftpd[16006]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session closed.
>Jun 25 06:45:14 host2 proftpd[16010]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session opened.
>Jun 25 06:45:16 host2 proftpd[16009]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session closed.
>Jun 25 06:45:16 host2 proftpd[16010]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session closed.
>Jun 25 06:47:21 host2 proftpd[16054]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session opened.
>Jun 25 06:47:21 host2 proftpd[16054]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session closed.
>Jun 25 06:47:53 host2 proftpd[16069]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session opened.
>Jun 25 06:47:53 host2 proftpd[16069]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session closed.
>Jun 25 06:48:24 host2 proftpd[16084]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session opened.
>Jun 25 06:48:25 host2 proftpd[16084]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session closed.
>Jun 25 06:48:39 host2 proftpd[16089]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session opened.
>Jun 25 06:48:40 host2 proftpd[16089]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session closed.
>Jun 25 06:48:54 host2 proftpd[16090]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session opened.
>Jun 25 06:48:55 host2 proftpd[16090]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session closed.
>Jun 25 06:49:13 host2 proftpd[16098]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session opened.
>Jun 25 06:49:13 host2 proftpd[16098]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session closed.
>Jun 25 06:55:46 host2 proftpd[16189]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session opened.
>Jun 25 06:55:49 host2 proftpd[16192]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session opened.
>Jun 25 06:55:49 host2 proftpd[16193]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session opened.
>Jun 25 06:55:50 host2 proftpd[16189]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session closed.
>Jun 25 06:55:51 host2 proftpd[16192]: host29 (ip.205.162.23.19.tctc.com[205.162.23.19]) - FTP session closed.
>------------- cut -------------
>это явный скан 21 порта, по моему мнению.
>как уберечься от такого ? а то у меня даже inetd загибается
>?
>sourcse  ip addresses меняються, т.е. какой то один закрыть файерволом не
>представляется возможным, может быть как-то в реал тайме можно это отслеживать
>?
>подскажите, технологию или тулзы

ставь SNORT, смотри как SYN FLOOD запретить в стеке TCP/IP
пиши репорты на держателей LIR/AS откуда сие лупится, если это конечно
атака а не какой-то мудак запустил getright с 20 и больше сессий,
сам наблюдал как со 100 и 200 сеансами пущенный getright кладет у
крупных ISP прокси :(

>спасибо
>василий

  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "RE: Обильное количество FTP сессий"
Сообщение от Vasily emailИскать по авторуВ закладки on 26-Июн-02, 13:02  (MSK)
>
>ставь SNORT, смотри как SYN FLOOD запретить в стеке TCP/IP
>пиши репорты на держателей LIR/AS откуда сие лупится, если это конечно
>атака а не какой-то мудак запустил getright с 20 и больше сессий,
>
>сам наблюдал как со 100 и 200 сеансами пущенный getright кладет у
>
>крупных ISP прокси :(

это вряд ли гетрайт, т.к. качать нечего на самом деле, да IP адреса через 100-200 логов меняются
буду ставить snort
кстати в связи с этим у меня вон чего случилось :-(
VFS: file-max limit 8192 reached
ну и сервер goes down :-(
только откуда ? сессии ведь как открываются, так и закрываются
может увеличить до file-max limit 16384 ?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "RE: Обильное количество FTP сессий"
Сообщение от falk0n emailИскать по авторуВ закладки on 26-Июн-02, 14:04  (MSK)
А почему бы сначала не запретить всем доступ на ресурс,
а открыть только для определенных ip, и поставить
ограничение ftp сесий.
  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру