Ok, è il solito lunedì mattina e da quando ho deciso di rendere accessibile dall’esterno il mio server FTP l’analisi dei log è diventata una routine. Ecco allora che mi appresto a dare una lettura a /var/www/vsftpd.log e subito mi ritrovo 3 tonnellate di attempts del tipo:

Sun Jun 27 05:33:04 2010 [pid 20356] CONNECT: Client "208.51.239.*"
Sun Jun 27 05:33:07 2010 [pid 20355] [Administrator] FAIL LOGIN: Client "208.51.                                                      239.*"
Sun Jun 27 05:33:11 2010 [pid 20355] [Administrator] FAIL LOGIN: Client "208.51.                                                      239.*"
Sun Jun 27 05:33:14 2010 [pid 20355] [Administrator] FAIL LOGIN: Client "208.51.                                                      239.*"
Sun Jun 27 05:51:02 2010 [pid 24294] CONNECT: Client "208.51.239.*"
Sun Jun 27 05:51:05 2010 [pid 24293] [Administrator] FAIL LOGIN: Client "208.51.                                                      239.*"
Sun Jun 27 05:51:08 2010 [pid 24293] [Administrator] FAIL LOGIN: Client "208.51.                                                      239.*"
Sun Jun 27 05:51:11 2010 [pid 24293] [Administrator] FAIL LOGIN: Client "208.51.                                                      239.*"

Ed ecco a voi il classico attacco bruteforce esaustivo. Ma sta gente cosa ci troverà di interessante nel tentare di forzare un server FTP casalingo?

Ma trattasi del vero IP sorgente oppure di una testa di ponte? Gira che ti rigira, ho visto che a questo IP risponde un server HTTPS, il quale presenta un form per il login che mi è familiare… Si, è il classico login di fortiOS! (leggasi sistema operativo integrato in dotazione ai firewall Fortigate ma anche ai SAS900 Elsag-Datamat).

Non so perchè, ma qualcosa mi lascia pensare che si tratti proprio di una testa di ponte 🙂

Bhè, quanti “cracker” professionisti ci sono in giro!

Alla prossima.