Supongamos que su FTP es puramente FTP (no sFTP) y que el software del servidor no tiene vulnerabilidades.
Incluso entonces el atacante podría iniciar sesión, eliminar cualquier archivo que pueda tener. O peor aún, subir nuevos archivos. Imagínese si esos archivos cargados fueran algo ilegal, como material con derechos de autor o pornografía infantil peor. Un informe rápido a la policía, y te encontrarás en un montón de problemas muy rápido.
Aquí es donde un atacante carga de forma aleatoria los archivos en su servidor FTP y luego los informa. El motivo por el que alguien haría esto no es lo importante, lo que importa es que pueden hacerlo una vez que conozcan su nombre de usuario / contraseña.
Ahora, si el software de FTP tuviera vulnerabilidades, los atacantes podrían comenzar a obtener acceso a su servidor. Y ejecute la ejecución de código para extraer Monero, o incluso ransomware en todo el servidor. Dicho esto, solo una pequeña parte de las vulnerabilidades del servidor FTP requieren acceso autenticado, en la mayoría de los casos podrían explotar las vulnerabilidades sin conocer su nombre de usuario / contraseña. Otra razón para no exponer esto a Internet a menos que sea absolutamente necesario.
Si se tratara de sFTP (no solo FTP), y el atacante obtuviera acceso SSH, podrían iniciar sesión en su servidor y ejecutar un ataque de escalada de privilegios para obtener la raíz de su servidor. A partir de ahí las posibilidades son infinitas. Incluso sin acceso privilegiado, pueden caminar alrededor de su servidor y navegar a través de más archivos de los que le gustaría.
Al igual que cualquier otra cosa, exponer esto a internet es perjudicial, y si está en el puerto 21, es probable que solo estés buscando problemas (IMHO).