Tenemos un servidor ftp público que está siendo investigado por los habituales escaneos chinos de fuerza bruta. Ellos están sondeando vsftpd. Últimamente, un inicio de sesión fallido para vsftpd tiene este aspecto en syslog:
Mar 17 15:56:07 cache0001 vsftpd: ftp_set_login_id - unable to esd_decode: root
Mar 17 15:56:07 cache0001 vsftpd: ftp_authenticate failed - invalid login_id format: root ip: 10.90.3.193
Mar 17 15:56:07 cache0001 vsftpd: Mon Mar 17 15:56:07 2014 [pid 13327] [root] FAIL LOGIN: Client "10.90.3.193"
Estos inicios de sesión se ven así:
Mar 17 10:20:47 cache0001 vsftpd: Mon Mar 17 10:20:47 2014 [pid 10095] CONNECT: Client "61.147.76.54"
Mar 17 10:20:47 cache0001 vsftpd: ftp_authenticate failed - expired password: 2848358251 DTM20140317045711MjMxMzM1Nzk1 ip: 61.147.76.54 Current: DTM20140317102047
Mar 17 10:20:47 cache0001 vsftpd: Mon Mar 17 10:20:47 2014 [pid 10095] [NTg3NTEwMTY1PDI4NDgzNTgyNTE+MjUxODUwNjU4] FAIL LOGIN: Client "61.147.76.54"
¿No está seguro de lo que se está registrando aquí, no hay una línea "login_id no válida", por qué "contraseña caducada"?
¿Esta persona está tratando de usar el script Metasploit para las vulnerabilidades vsftpd que estaban fuera hace algún tiempo?
Gracias -w