Üdv. a szolgáltatónk Invitel küldött 2 ilyen levelet:
"Tisztelt Ügyfelünk!
Partereink illegális tevékenységet jeleztek egy, az Önök felügyeletébe tartozó IPcímről.
2008-10-29 12:34:15 213.163.xxx.xxx lizart
Mellékelten küldöm a tevékenységet jelsző partnerünk levelét:
Tisztelt Címzett!
A PTA CERT-Hungary Központ (CHK) a magyar kormány informatikai biztonsági
incidenskezelő központja.
Központunk az alábbi, vélhetően feltört FTP felhasználókról kapott
bejelentést. Az információt egy külföldi CERT partnerünktől kaptuk.
Az összegyűjtés módjáról annyit tudunk, hogy a felhasználóneveket és a
jelszavakat egy Trójai program gyűjtötte össze egy C&C szerverről.
Amennyiben Önök kompetensek a bejelentés kapcsán, kérjük jellezzék ezt
Központunknak.
Jelszavakat csak a visszajelzés után áll módunkban elküldeni."
Megnéztem a proftpd logokat, az látszik hogy próbálkozik valaki ilyen névvel, de ezen kívül semmit sem látok. Az xferlog-ban sincs semmilyen ftp adatmozgás. Mit kellene még megnézni, vagy egyáltalán foglalkozni kell e vele, mert állítólag mások is kaptak hasonlót:
Dec 01 07:29:27 hera proftpd[4618] hera (::ffff:59.90.1.64[::ffff:59.90.1.64]): FTP session opened.
Dec 01 07:29:27 hera proftpd[4618] hera (::ffff:59.90.1.64[::ffff:59.90.1.64]): no such user 'lizart'
Dec 01 07:29:27 hera proftpd[4618] hera (::ffff:59.90.1.64[::ffff:59.90.1.64]): USER lizart: no such user found from ::ffff:59.90.1.64 [::ffff:59.90.1.64] to ::ffff:192.168.100.251:21
Dec 01 07:29:27 hera proftpd[4618] hera (::ffff:59.90.1.64[::ffff:59.90.1.64]): mod_delay/0.5: delaying for 1 usecs
Dec 01 07:29:28 hera proftpd[4618] hera (::ffff:59.90.1.64[::ffff:59.90.1.64]): FTP session closed.
- 1107 megtekintés