Ho un server ftp che e' stato violato. Sto cercando di capire come.
I servizi attivi ed accessibili sono solo ftp e http, gli unici mappati dal router. Il router non e' stato violato.
Mi sono ritrovato con un utente esistente, utilizzato per accessi non autorizzati.
La cosa strana e' che questo utente ha una pw alfanumerica che e' praticamente impossibile forzare. Quindi delle due l'una, o hanno preso la pw al tipo che l'aveva, oppure hanno sfruttato una qualche falla.

Ecco le poche cose che sono riuscito a racimolare dai vai log:

/var/log/proftpd.log:Jun 21 04:40:55 debian proftpd[28762] 10.0.0.199 (::ffff:85.13.201.186[::ffff:85.13.201.186]): FTP session opened.
/var/log/proftpd.log:Jun 21 04:40:56 debian proftpd[28762] 10.0.0.199 (::ffff:85.13.201.186[::ffff:85.13.201.186]): Preparing to chroot to directory '/home/lupo'
/var/log/proftpd.log:Jun 21 04:40:56 debian proftpd[28762] 10.0.0.199 (::ffff:85.13.201.186[::ffff:85.13.201.186]): USER lupo: Login successful.
/var/log/xferlog:Tue Jun 21 04:41:02 2011 0 ::ffff:85.13.201.186 17 /home/lupo/ftpchk3.txt b _ i r lupo ftp 0 * c
/var/log/apache2/access.log.39:85.13.201.186 - - [21/Jun/2011:04:41:02 +0200] "GET /ftpchk3.txt HTTP/1.1" 404 458 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0)"
/var/log/apache2/access.log.39:85.13.201.186 - - [21/Jun/2011:04:41:02 +0200] "GET /ftpchk3.txt HTTP/1.1" 404 458 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0)"
/var/log/proftpd.log:Jun 21 04:41:03 debian proftpd[28762] 10.0.0.199 (::ffff:85.13.201.186[::ffff:85.13.201.186]): FTP session closed.

Come si puo' vedere, il tipo ha prima fatto il login, non so come, poi ha inviato un file ftpchk3.txt, e poi ha fatto qualcosa che non ho ben capito.
Qualche idea?

C'e' qualcosa che non riesco a capire, ho dei tentativi di accesso su ssh, ma non ho mappato la porta sul router.

l'ftp trasmette la password in chairo, senza criptazione, quindi è assolutamente facile intercettarla non serve mica un bruteforce :)

l'ssh invece cripta qualsiasi informazione e se è attivo un server ssh è il caso di impostarlo con un numero massimo di tentativi dopo i quali attendere 30 minuti o un ora per riproseguire con i tentativi, inoltre si potrebbe abilitare il sollo accesso tramite certificato.
il certificato è uno scambio di chiavi crittografate tra server e client quindi usando questo metodo si innalza il livello di sicurezza ma se quel client venisse usato da persone "esterne" avrebbe un accesso senza credenziali verso ils erver ssh.

le porte ftp, ssh, 80, 443 sono aperte di default nei router.

L'ssh e' gia' con certificato, e' ben protetta. Il problema e' che la pw ce l'avevano, ma potevano solo accedere all'ftp, quindi ci facevano ben poco.
Poi e' stato cambiato il router che telecoz ha configurato a cazzo e si poteva accedere anche ad ssh. Adesso l'ho messo a posto.
Si ftp e' in chiaro, ma per prendere la pw devono aver infettato il client regolare.