Tengo un servidor (Windows 2008) y este servidor utiliza WebsitePanel para alojar algunos sitios web. Intenté configurar el servidor FTP de Mozilla, pero no puedo hacer que esto funcione. Como no lo uso no me importa.
Sin embargo, por accidente, casi inmediatamente me di cuenta de que un pirata informático intentó obtener acceso al FTP.
Puedo ver esto porque el FTP de Mozilla muestra todos los inicios de sesión fallidos y muestra una dirección IP. Como FTP no funciona, todos los inicios de sesión fallarán. Y como nadie debe usar este FTP, solo puede ser alguien con malas intenciones. Además, la mayoría de los ataques parecen originarse en Rusia y Brasil y mis sitios web están todos en holandés.
Al principio ingresé los números de IP que Mozilla me mostró en restricciones de dominio e IP y dominio de FTP y restricciones de IP (en todo el servidor). Pero me di cuenta de que cuando se usaba la misma dirección IP (lo que no ocurre con tanta frecuencia), aún podían intentar conectarse a FTP (mi idea era qué es el uso de esta protección IIS).
Así que ahora creé en mi firewall de Windows una restricción de bloqueo para todos los programas e ingresé todas las direcciones IP (más de 200).
Lo que me gustaría saber es cómo lo hacen. Puedo ver que intentan iniciar sesión y usan alrededor de 15 intentos, que en un segundo cambian el número de IP y nuevamente 15 intentos. Así que no puedo creer que estos intentos sean de diferentes personas.
¿Están utilizando IP spoofing? Si es así, ¿pueden elegir al azar un nuevo número de IP? Porque entonces no habría ningún uso en bloquear estos números de IP. ¿O están usando relés, computadoras fantasma o como quieras llamarlo?
Además, me di cuenta de que saben qué sitios web tengo en ese servidor. ¿Obtuvieron acceso a mi servidor de alguna manera y, por lo tanto, conocen los nombres de los sitios web o están usando alguna opción de IP inversa para averiguar qué sitios web van a mi dirección IP?
También noté que a veces, durante un cierto período, utilizo las cuentas de correo electrónico que tengo y falsifico su correo electrónico no deseado para simular que lo envío. Nuevamente, ¿obtuvieron acceso a mi computadora o, como saben, los sitios web simplemente adivinan algunas direcciones de correo electrónico que van con estos sitios? (Correo electrónico @ e info @ después de todo no es tan difícil de adivinar).
En mi servidor no puedo detectar nada extraño, sin virus, sin archivos extraños, ¿nada ha cambiado?
Pensé que podría usar el FTP de Mozilla como una especie de trampa de la miel y que en algún momento tendría todos los números de IP de las computadoras que usan para hacer esto. Pero si simplemente pueden elegir un número aleatorio, no tendría sentido hacerlo.