pornograph

最近几日vps的网站根目录老是自动生成一个tongy.php文件，删除之后不久又自动出现，头疼！！！

查看了一下messages文件，截取了一段，大家帮忙分析一下：


Dec 22 14:02:31 jlpzjcom pure-ftpd: (?@112.86.11.213) [INFO] 登出.
Dec 22 14:02:31 jlpzjcom xinetd[15867]: EXIT: ftp status=0 pid=10825 duration=6(sec)
Dec 22 14:02:32 jlpzjcom xinetd[15867]: START: ftp pid=10858 from=112.86.11.213
Dec 22 14:02:32 jlpzjcom pure-ftpd: (?@112.86.11.213) [INFO] 自 112.86.11.213 的新连接
Dec 22 14:02:33 jlpzjcom pure-ftpd: (?@199.99.19.218.broad.gz.gd.dynamic.163data.com.cn) [WARNING] 使用者[admin999]验证失败
Dec 22 14:02:33 jlpzjcom pure-ftpd: (?@199.99.19.218.broad.gz.gd.dynamic.163data.com.cn) [INFO] 登出.
Dec 22 14:02:33 jlpzjcom xinetd[15867]: EXIT: ftp status=0 pid=10843 duration=4(sec)
Dec 22 14:02:33 jlpzjcom xinetd[15867]: START: ftp pid=10865 from=218.19.99.199
Dec 22 14:02:33 jlpzjcom pure-ftpd: (?@199.99.19.218.broad.gz.gd.dynamic.163data.com.cn) [INFO] 自 199.99.19.218.broad.gz.gd.dynamic.163data.com.cn 的新连接
Dec 22 14:02:36 jlpzjcom pure-ftpd: (?@60.191.20.68) [WARNING] 使用者[admin321]验证失败
Dec 22 14:02:36 jlpzjcom pure-ftpd: (?@60.191.20.68) [INFO] 登出.
Dec 22 14:02:36 jlpzjcom xinetd[15867]: EXIT: ftp status=0 pid=10852 duration=5(sec)
Dec 22 14:02:37 jlpzjcom xinetd[15867]: START: ftp pid=10880 from=60.191.20.68
Dec 22 14:02:37 jlpzjcom pure-ftpd: (?@60.191.20.68) [INFO] 自 60.191.20.68 的新连接
Dec 22 14:02:37 jlpzjcom pure-ftpd: (?@112.86.11.213) [WARNING] 使用者[.jlpzj.com]验证失败
Dec 22 14:02:37 jlpzjcom pure-ftpd: (?@112.86.11.213) [INFO] 登出.
Dec 22 14:02:37 jlpzjcom xinetd[15867]: EXIT: ftp status=0 pid=10858 duration=5(sec)
Dec 22 14:02:39 jlpzjcom pure-ftpd: (?@199.99.19.218.broad.gz.gd.dynamic.163data.com.cn) [WARNING] 使用者[admin666]验证失败
Dec 22 14:02:39 jlpzjcom pure-ftpd: (?@199.99.19.218.broad.gz.gd.dynamic.163data.com.cn) [INFO] 登出.
Dec 22 14:02:39 jlpzjcom xinetd[15867]: EXIT: ftp status=0 pid=10865 duration=6(sec)
Dec 22 14:02:40 jlpzjcom xinetd[15867]: START: ftp pid=10893 from=218.19.99.199
Dec 22 14:02:40 jlpzjcom pure-ftpd: (?@199.99.19.218.broad.gz.gd.dynamic.163data.com.cn) [INFO] 自 199.99.19.218.broad.gz.gd.dynamic.163data.com.cn 的新连接
Dec 22 14:02:40 jlpzjcom pure-ftpd: (?@60.191.20.68) [WARNING] 使用者[asdasd]验证失败
Dec 22 14:02:40 jlpzjcom pure-ftpd: (?@60.191.20.68) [INFO] 登出.
Dec 22 14:02:40 jlpzjcom xinetd[15867]: EXIT: ftp status=0 pid=10880 duration=3(sec)
Dec 22 14:02:41 jlpzjcom xinetd[15867]: START: ftp pid=10898 from=60.191.20.68
Dec 22 14:02:41 jlpzjcom pure-ftpd: (?@60.191.20.68) [INFO] 自 60.191.20.68 的新连接
Dec 22 14:02:43 jlpzjcom pure-ftpd: (?@199.99.19.218.broad.gz.gd.dynamic.163data.com.cn) [WARNING] 使用者[admin555]验证失败
Dec 22 14:02:43 jlpzjcom pure-ftpd: (?@199.99.19.218.broad.gz.gd.dynamic.163data.com.cn) [INFO] 登出.
Dec 22 14:02:43 jlpzjcom xinetd[15867]: EXIT: ftp status=0 pid=10893 duration=3(sec)
Dec 22 14:02:44 jlpzjcom xinetd[15867]: START: ftp pid=10910 from=218.19.99.199
Dec 22 14:02:44 jlpzjcom pure-ftpd: (?@199.99.19.218.broad.gz.gd.dynamic.163data.com.cn) [INFO] 自 199.99.19.218.broad.gz.gd.dynamic.163data.com.cn 的新连接
Dec 22 14:02:46 jlpzjcom pure-ftpd: (?@60.191.20.68) [WARNING] 使用者[asd123]验证失败
Dec 22 14:02:46 jlpzjcom pure-ftpd: (?@60.191.20.68) [INFO] 登出.
Dec 22 14:02:46 jlpzjcom xinetd[15867]: EXIT: ftp status=0 pid=10898 duration=5(sec)
Dec 22 14:02:46 jlpzjcom xinetd[15867]: START: ftp pid=10916 from=60.191.20.68
Dec 22 14:02:46 jlpzjcom pure-ftpd: (?@60.191.20.68) [INFO] 自 60.191.20.68 的新连接
Dec 22 14:02:47 jlpzjcom xinetd[15867]: START: ftp pid=10919 from=112.86.11.213
Dec 22 14:02:47 jlpzjcom pure-ftpd: (?@112.86.11.213) [INFO] 自 112.86.11.213 的新连接
Dec 22 14:02:49 jlpzjcom pure-ftpd: (?@199.99.19.218.broad.gz.gd.dynamic.163data.com.cn) [WARNING] 使用者[admin444]验证失败
Dec 22 14:02:49 jlpzjcom pure-ftpd: (?@199.99.19.218.broad.gz.gd.dynamic.163data.com.cn) [INFO] 登出.
Dec 22 14:02:49 jlpzjcom xinetd[15867]: EXIT: ftp status=0 pid=10910 duration=5(sec)
Dec 22 14:02:49 jlpzjcom xinetd[15867]: START: ftp pid=10928 from=218.19.99.199
Dec 22 14:02:49 jlpzjcom pure-ftpd: (?@199.99.19.218.broad.gz.gd.dynamic.163data.com.cn) [INFO] 自 199.99.19.218.broad.gz.gd.dynamic.163data.com.cn 的新连接
Dec 22 14:02:50 jlpzjcom pure-ftpd: (?@60.191.20.68) [WARNING] 使用者[admin]验证失败
Dec 22 14:02:50 jlpzjcom pure-ftpd: (?@60.191.20.68) [INFO] 登出.
Dec 22 14:02:50 jlpzjcom xinetd[15867]: EXIT: ftp status=0 pid=10916 duration=4(sec)
Dec 22 14:02:50 jlpzjcom xinetd[15867]: START: ftp pid=10931 from=60.191.20.68
Dec 22 14:02:50 jlpzjcom pure-ftpd: (?@60.191.20.68) [INFO] 自 60.191.20.68 的新连接
Dec 22 14:02:51 jlpzjcom pure-ftpd: (?@112.86.11.213) [WARNING] 使用者[administrator@jlpzj.com]验证失败
Dec 22 14:02:51 jlpzjcom pure-ftpd: (?@112.86.11.213) [INFO] 登出.
Dec 22 14:02:51 jlpzjcom xinetd[15867]: EXIT: ftp status=0 pid=10919 duration=4(sec)
Dec 22 14:02:52 jlpzjcom xinetd[15867]: START: ftp pid=10937 from=112.86.11.213
Dec 22 14:02:52 jlpzjcom pure-ftpd: (?@112.86.11.213) [INFO] 自 112.86.11.213 的新连接
Dec 22 14:02:54 jlpzjcom pure-ftpd: (?@199.99.19.218.broad.gz.gd.dynamic.163data.com.cn) [WARNING] 使用者[admin333]验证失败
Dec 22 14:02:54 jlpzjcom pure-ftpd: (?@199.99.19.218.broad.gz.gd.dynamic.163data.com.cn) [INFO] 登出.
Dec 22 14:02:54 jlpzjcom xinetd[15867]: EXIT: ftp status=0 pid=10928 duration=5(sec)
Dec 22 14:02:54 jlpzjcom xinetd[15867]: START: ftp pid=10945 from=218.19.99.199
Dec 22 14:02:54 jlpzjcom pure-ftpd: (?@199.99.19.218.broad.gz.gd.dynamic.163data.com.cn) [INFO] 自 199.99.19.218.broad.gz.gd.dynamic.163data.com.cn 的新连接
Dec 22 14:02:56 jlpzjcom pure-ftpd: (?@60.191.20.68) [WARNING] 使用者[5201314]验证失败

pornograph

我的理解是这样：是不是有人在用枚举法破解jlpzjcom账号的登陆密码？

cnweb

不懂啦

yemingtu

很明显是啊，尝试的都还是弱口令。

有个就好

程序漏洞导致的吧

pornograph

请问可以反制吗？比如同一IP尝试登陆5次失败后就禁止再次尝试。现在那机器人2-3秒就枚举一次，服务器受不了哇。。

小夜

本帖最后由 小夜 于 2011-12-23 11:32 编辑

弱口令破密码。这个很好搞定吧？我一般看到这样的，直接ban掉IP，或BAN掉整个IP段。

pornograph

我听vps客服说这个vps已经有策略，超过20次尝试失败就自动封IP，但问题是那个枚举器懂得自己更换IP，太强大了。

yu.gs尊

  绿色的 我以为我眼反光了

随风舞hotdojo

各种验证失败啊 是不是有人在探测关ftp