Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Jan 2002

Har jag virus?

Hoppas nån där ute kan mer om Filezilla än jag.
Krävs inte så mycket, så ribban ligger lågt här...

Varje dag försöker något script på min server logga in och få admin/root i Filezilla som körs på den.
Vet inte om detta är någon konstig keep alive eller liknande, men loggarna ser ut som nedan.
Inte exakt samma tid varje dag utan det varierar lite, men minst en gång om dagen upprepar sig detta.

Ska det vara på detta vis, och i så fall varför?
Känns som en trojan som försöker skaffa sig en server....

(ber om ursäkt för Wall of text...)

11:03:08 - (not logged in) (192.168.1.12)> Connected on port 21, sending welcome message...
(000063) 2018-01-27 11:03:08 - (not logged in) (192.168.1.12)> 220 Untz untz untz untz
(000063) 2018-01-27 11:03:08 - (not logged in) (192.168.1.12)> HELP
(000063) 2018-01-27 11:03:08 - (not logged in) (192.168.1.12)> 214-The following commands are recognized:
(000063) 2018-01-27 11:03:08 - (not logged in) (192.168.1.12)> ABOR ADAT ALLO APPE AUTH CDUP CLNT CWD
(000063) 2018-01-27 11:03:08 - (not logged in) (192.168.1.12)> DELE EPRT EPSV FEAT HASH HELP LIST MDTM
(000063) 2018-01-27 11:03:08 - (not logged in) (192.168.1.12)> MFMT MKD MLSD MLST MODE NLST NOOP NOP
(000063) 2018-01-27 11:03:08 - (not logged in) (192.168.1.12)> OPTS P@SW PASS PASV PBSZ PORT PROT PWD
(000063) 2018-01-27 11:03:08 - (not logged in) (192.168.1.12)> QUIT REST RETR RMD RNFR RNTO SITE SIZE
(000063) 2018-01-27 11:03:08 - (not logged in) (192.168.1.12)> STOR STRU SYST TYPE USER XCUP XCWD XMKD
(000063) 2018-01-27 11:03:08 - (not logged in) (192.168.1.12)> XPWD XRMD
(000063) 2018-01-27 11:03:08 - (not logged in) (192.168.1.12)> 214 Have a nice day.
(000063) 2018-01-27 11:03:08 - (not logged in) (192.168.1.12)> could not send reply, disconnected.
(000064) 2018-01-27 11:03:11 - (not logged in) (192.168.1.12)> Connected on port 21, sending welcome message...
(000064) 2018-01-27 11:03:11 - (not logged in) (192.168.1.12)> 220 Untz untz untz untz
(000064) 2018-01-27 11:03:11 - (not logged in) (192.168.1.12)> USER admin
(000064) 2018-01-27 11:03:11 - (not logged in) (192.168.1.12)> 530 This server does not allow plain FTP. You have to use FTP over TLS.
(000064) 2018-01-27 11:03:11 - (not logged in) (192.168.1.12)> USER admin
(000064) 2018-01-27 11:03:11 - (not logged in) (192.168.1.12)> 530 This server does not allow plain FTP. You have to use FTP over TLS.
(000064) 2018-01-27 11:03:11 - (not logged in) (192.168.1.12)> USER Admin
(000064) 2018-01-27 11:03:11 - (not logged in) (192.168.1.12)> 530 This server does not allow plain FTP. You have to use FTP over TLS.
(000064) 2018-01-27 11:03:11 - (not logged in) (192.168.1.12)> USER Admin
(000064) 2018-01-27 11:03:11 - (not logged in) (192.168.1.12)> 530 This server does not allow plain FTP. You have to use FTP over TLS.
(000064) 2018-01-27 11:03:11 - (not logged in) (192.168.1.12)> USER Administrator
(000064) 2018-01-27 11:03:11 - (not logged in) (192.168.1.12)> 530 This server does not allow plain FTP. You have to use FTP over TLS.
(000064) 2018-01-27 11:03:11 - (not logged in) (192.168.1.12)> USER Administrator
(000064) 2018-01-27 11:03:11 - (not logged in) (192.168.1.12)> 530 This server does not allow plain FTP. You have to use FTP over TLS.
(000064) 2018-01-27 11:03:11 - (not logged in) (192.168.1.12)> USER administrator
(000064) 2018-01-27 11:03:11 - (not logged in) (192.168.1.12)> 530 This server does not allow plain FTP. You have to use FTP over TLS.
(000064) 2018-01-27 11:03:11 - (not logged in) (192.168.1.12)> USER administrator
(000064) 2018-01-27 11:03:11 - (not logged in) (192.168.1.12)> 530 This server does not allow plain FTP. You have to use FTP over TLS.
(000064) 2018-01-27 11:03:11 - (not logged in) (192.168.1.12)> USER root
(000064) 2018-01-27 11:03:11 - (not logged in) (192.168.1.12)> 530 This server does not allow plain FTP. You have to use FTP over TLS.
(000064) 2018-01-27 11:03:11 - (not logged in) (192.168.1.12)> USER root
(000064) 2018-01-27 11:03:11 - (not logged in) (192.168.1.12)> 530 This server does not allow plain FTP. You have to use FTP over TLS.
(000064) 2018-01-27 11:03:11 - (not logged in) (192.168.1.12)> USER Admin
(000064) 2018-01-27 11:03:11 - (not logged in) (192.168.1.12)> 530 This server does not allow plain FTP. You have to use FTP over TLS.
(000064) 2018-01-27 11:03:12 - (not logged in) (192.168.1.12)> USER Admin
(000064) 2018-01-27 11:03:12 - (not logged in) (192.168.1.12)> 530 This server does not allow plain FTP. You have to use FTP over TLS.
(000064) 2018-01-27 11:03:13 - (not logged in) (192.168.1.12)> USER Administrator
(000064) 2018-01-27 11:03:13 - (not logged in) (192.168.1.12)> 530 This server does not allow plain FTP. You have to use FTP over TLS.
(000064) 2018-01-27 11:03:13 - (not logged in) (192.168.1.12)> disconnected.

MB: Asus ROG Hero | CPU: i4770@4,6GHz | RAM: 16GB@1600 | GPU: 6970 | STORAGE: 2*120GB SSD | COOLING: Custom, Water

Trädvy Permalänk
Medlem
Plats
Västra Götaland
Registrerad
Okt 2016

Hej,

Nej du har inte virus, meddelandet du får i början är ett så kallat welcome message från serverns sida och du blir disconnectad då den kräver att du har ftps istället för ftp, finns under site manager om du klickar på ctrl+s och sedan ser du connection type och där kan du ställa in att du ansluter med TLS/SSL.

MVH

Följa mina trådar hur jag gång på gång avslöjar Telias backdörrar som dom planterat på din Technicolor router. Dom ser till och med när du startar och stänger av routern på sekunden, inte nog med det. Dom loggar det också!!!

https://wuseman.github.io/TG799vac-Xtream-V16.2-JADE/
https://wuseman.github.io/TG799VAC-XTREME-17.2-MINT/

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Jan 2002
Skrivet av wuseman:

Hej,

Nej du har inte virus, meddelandet du får i början är ett så kallat welcome message från serverns sida och du blir disconnectad då den kräver att du har ftps istället för ftp, finns under site manager om du klickar på ctrl+s och sedan ser du connection type och där kan du ställa in att du ansluter med TLS/SSL.

MVH

Men det är inte jag som försöker ansluta.

Skickades från m.sweclockers.com

MB: Asus ROG Hero | CPU: i4770@4,6GHz | RAM: 16GB@1600 | GPU: 6970 | STORAGE: 2*120GB SSD | COOLING: Custom, Water

Trädvy Permalänk
Medlem
Plats
Södertälje
Registrerad
Feb 2005

Du har iaf till99.9 inte virus. Är du orolig kan du starta den i felsäkert läge och söka ordentligt.
Troligen försöker en bott/nät ansluta och kör random BS..

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Jan 2002
Skrivet av tcntad:

Du har iaf till99.9 inte virus. Är du orolig kan du starta den i felsäkert läge och söka ordentligt.
Troligen försöker en bott/nät ansluta och kör random BS..

Lite det jag tänkt oxå, men IP-numret som anges, är inte det från den som försöker ansluta? Isåfall så är det från servern som kör filezilla som försöken kommer.

Skickades från m.sweclockers.com

MB: Asus ROG Hero | CPU: i4770@4,6GHz | RAM: 16GB@1600 | GPU: 6970 | STORAGE: 2*120GB SSD | COOLING: Custom, Water

Trädvy Permalänk
Medlem
Plats
Västra Götaland
Registrerad
Okt 2016
Skrivet av SpaceMan:

Lite det jag tänkt oxå, men IP-numret som anges, är inte det från den som försöker ansluta? Isåfall så är det från servern som kör filezilla som försöken kommer.

Skickades från m.sweclockers.com

Jag såg det nu att det är en attack med tanke på alla användarnamn den provar med, frågan är hur ditt lan-ip kommit med i bilden isåfall. Fail2ban är ett otroligt bra program, kan du binda användarna till en ip range eller ident annars så slipper du detta. Men är väldigt nyfiken varför 192.168.1.12 skrivs ut, lär vara någon på samma nät som attackerar, byt port med btw om du kör 21.. I normala fall så står det även vilken ip som misslyckas att logga in och har aldrig varit med om att ens egna lan ip står med om det är en attack utifrån, förmodar i alla fall att det inte är ditt lan ip Är något skumt med detta.

MVH

Följa mina trådar hur jag gång på gång avslöjar Telias backdörrar som dom planterat på din Technicolor router. Dom ser till och med när du startar och stänger av routern på sekunden, inte nog med det. Dom loggar det också!!!

https://wuseman.github.io/TG799vac-Xtream-V16.2-JADE/
https://wuseman.github.io/TG799VAC-XTREME-17.2-MINT/

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Jan 2002
Skrivet av wuseman:

Jag såg det nu att det är en attack med tanke på alla användarnamn den provar med, frågan är hur ditt lan-ip kommit med i bilden isåfall. Fail2ban är ett otroligt bra program, kan du binda användarna till en ip range eller ident annars så slipper du detta. Men är väldigt nyfiken varför 192.168.1.12 skrivs ut, lär vara någon på samma nät som attackerar, byt port med btw om du kör 21.. I normala fall så står det även vilken ip som misslyckas att logga in och har aldrig varit med om att ens egna lan ip står med om det är en attack utifrån, förmodar i alla fall att det inte är ditt lan ip Är något skumt med detta.

MVH

IPt är serverns, och det tillsammans med att det är försök på just superuser-namn får mig att tro att det är nån trojan som ligger och nöter och hoppas på det bästa, för att vid eventuell inlogg kontakta sin ägare. Troligtvis inte någon inifrån mitt nätverk då vare sig fru eller dotter visat på några direkta hackerambitioner och inget okänt är inloggat på nätet. Brandväggen är tight och port forward är inte från 21 utan random ledig port. Inte så orolig att denna brute force skulle lyckas då det skulle ta ett par millenier att gissa rätt i denna takt, men jag gillar ju inte tanken på detta...
Skulle kunna blocka serverns IP från att ansluta men om jag har någon malware skulle jag verkligen lja hitta skiten och bli av med den.

Skickades från m.sweclockers.com

MB: Asus ROG Hero | CPU: i4770@4,6GHz | RAM: 16GB@1600 | GPU: 6970 | STORAGE: 2*120GB SSD | COOLING: Custom, Water

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Apr 2013

@SpaceMan: Bara för skojs skull, varför står det (port 21), i loggen som du skicka? Om du nu inte använder den?

"11:03:08 - (not logged in) (192.168.1.12)> Connected on port 21, sending welcome message..."

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Jan 2002
Skrivet av Overwatch:

@SpaceMan: Bara för skojs skull, varför står det (port 21), i loggen som du skicka? Om du nu inte använder den?

"11:03:08 - (not logged in) (192.168.1.12)> Connected on port 21, sending welcome message..."

Port utifrån WAN är ej 21 genom brandvägg, internt är den 21. Skulle kunna byta den ifall scriptet bara försöker ansluta på port 21 (vilket vore logiska sättet att veta vad man attackerar) men det ger ju samma effekt som att blocka IPt, fast sämre. Det är orsaken och inte symptomet jag vill komma åt. Hade hoppats att någon sett något liknande detta tidigare och visste vart jag skulle kunna börja leta efter det. Vad det än är så har det ju helt klart väldigt liten makt. Hade den haft några som helst rättigheter eller mer avancerade funktioner så hade den ju inte behövt försöka logga in utan bara skapat sig en användare direkt i servergränssnittet.

Skickades från m.sweclockers.com

MB: Asus ROG Hero | CPU: i4770@4,6GHz | RAM: 16GB@1600 | GPU: 6970 | STORAGE: 2*120GB SSD | COOLING: Custom, Water