全球主机交流论坛

标题: 请问破解FTP账号密码时，会显示ESTABLISHED吗？ [打印本页]

作者: 云生 时间: 2014-8-28 15:08
标题: 请问破解FTP账号密码时，会显示ESTABLISHED吗？
本帖最后由云生于 2014-8-28 15:26 编辑

tcp 0 0 116.255.***.**:21 222.136.82.149:1503 ESTABLISHED
因为这个异常IP，坛友说是已经连接了，
但是我当时查看网站流量，也没异常，
请问会不会是正在破解，显示的这个ESTABLISHED信号呢？
现在心很紧张，因为这个FTP 文件夹里，有数据库备份。

作者: 阔空晴云 时间: 2014-8-28 15:21
只要TCP连接建立上了都会ESTABLISHED
但不代表他登陆上了FTP，就算是用错误的密码连接FTP，也会建立TCP连接。

作者: 阔空晴云 时间: 2014-8-28 15:22
对了，如果那个状态持续了很久，那就很可能是密码正确了，FTP登陆成功了

作者: 云生 时间: 2014-8-28 15:23

阔空晴云发表于 2014-8-28 15:21
只要TCP连接建立上了都会ESTABLISHED
但不代表他登陆上了FTP，就算是用错误的密码连接FTP，也会建立TCP连接 ...

感谢，你的这个解释，总算让我的心稍微放下了一点，
刚才好紧张啊~~
我的这个账号，密码，才用一个月，绝对唯一性，也绝对没在其他地方用过，
我怀疑是他在破解。

作者: 云生 时间: 2014-8-28 15:24
主要是我看网站流量，还是很小的。不像在下载文件。

作者: 云生 时间: 2014-8-28 15:25

阔空晴云发表于 2014-8-28 15:22
对了，如果那个状态持续了很久，那就很可能是密码正确了，FTP登陆成功了

如果他不停的破解，应该还是显示那个状态吧。

作者: 阔空晴云 时间: 2014-8-28 15:27

云生发表于 2014-8-28 15:24
主要是我看网站流量，还是很小的。不像在下载文件。

如果它不断地穷举密码，也可能导致ESTABLISHED状态持续很久。
总之，单独看TCP状态看不出来登陆成功没。
你最好把FTP的日志打开，看一下日志就知道了

作者: 云生 时间: 2014-8-28 15:27

阔空晴云发表于 2014-8-28 15:22
对了，如果那个状态持续了很久，那就很可能是密码正确了，FTP登陆成功了

而且很奇怪的是，他好像用了三个IP
都是显示在一个城市，很可能是一个人在连

如果他已经连上了，不太可能会用这么多 IP啊。

作者: 云生 时间: 2014-8-28 15:29

阔空晴云发表于 2014-8-28 15:27
如果它不断地穷举密码，也可能导致ESTABLISHED状态持续很久。
总之，单独看TCP状态看不出来登陆成功没。
...

非常感谢你的回复！

作者: 阔空晴云 时间: 2014-8-28 15:31

云生发表于 2014-8-28 15:27
而且很奇怪的是，他好像用了三个IP
都是显示在一个城市，很可能是一个人在连

我的SSH 也经常被人连接，而且都是穷举密码，查看TCP连接状态，也会看到有几个臭名昭彰的IP在一直连接。
后来我改了SSH的端口，问题一下就解决了。
SSH被穷举密码了看系统日志很容易就看出来了。
像PureFTP这类常见的FTP服务端都有日志功能的，只是可能默认没打开。
随便在网上找了个文章，你照着看看
http://os.51cto.com/art/201103/246830.htm

欢迎光临全球主机交流论坛 (https://lilynana.eu.org/)