Tentativa de Invasão FTP

[lcmapa]

Pessoal, boa noite!

Tenho recebido diversas tentativas de invasão no FTP, abaixo um log de uma tentativa, não entendo muito bem, alguém poderia me dizer se o atacante teve algum sucesso neste ataque?

(000001)26/07/2015 12:10:56 - (not logged in) (188.95.233.5)> Connected on port 21, sending welcome message...
(000001)26/07/2015 12:10:56 - (not logged in) (188.95.233.5)> 220 Oiiiiii
(000001)26/07/2015 12:10:56 - (not logged in) (188.95.233.5)> FEAT
(000001)26/07/2015 12:10:56 - (not logged in) (188.95.233.5)> 211-Features:
(000001)26/07/2015 12:10:56 - (not logged in) (188.95.233.5)>  MDTM
(000001)26/07/2015 12:10:56 - (not logged in) (188.95.233.5)>  REST STREAM
(000001)26/07/2015 12:10:56 - (not logged in) (188.95.233.5)>  SIZE
(000001)26/07/2015 12:10:56 - (not logged in) (188.95.233.5)>  MLST type*;size*;modify*;
(000001)26/07/2015 12:10:56 - (not logged in) (188.95.233.5)>  MLSD
(000001)26/07/2015 12:10:56 - (not logged in) (188.95.233.5)>  UTF8
(000001)26/07/2015 12:10:56 - (not logged in) (188.95.233.5)>  CLNT
(000001)26/07/2015 12:10:56 - (not logged in) (188.95.233.5)>  MFMT
(000001)26/07/2015 12:10:56 - (not logged in) (188.95.233.5)>  EPSV
(000001)26/07/2015 12:10:56 - (not logged in) (188.95.233.5)>  EPRT
(000001)26/07/2015 12:10:56 - (not logged in) (188.95.233.5)> 211 End
(000001)26/07/2015 12:10:56 - (not logged in) (188.95.233.5)> AUTH TLS
(000001)26/07/2015 12:10:56 - (not logged in) (188.95.233.5)> 502 Explicit TLS authentication not allowed
(000001)26/07/2015 12:10:56 - (not logged in) (188.95.233.5)> QUIT
(000001)26/07/2015 12:10:56 - (not logged in) (188.95.233.5)> 221 Goodbye
(000001)26/07/2015 12:10:56 - (not logged in) (188.95.233.5)> disconnected.

Desde já agradeço a colaboração de todos.

[LucasOliveira]

Parece estar como anonimo. Desativa o login anonimo. Apenas usuários com login e senha poderão fazer o login.

Segundo as mensagens teve alteração, verifique os scripts se não foram alterados o código fonte, ou adicionado.

[Jorge Marcelino]

Você também pode liberar o FTP apenas para alguns países.

Veja no tutorial: https://central.hostseries.com.br/knowledgebase.php?action=displayarticle&id=74 

Assim garante uma melhor segurança para seu servidor.

[rubensk]

Parece scanning desta vulnerabilidade:

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2011-1575

 

Pelo log parece que não funcionou. 

 

Notar que isso só se resolve com atualização de software; desligar FTP anônimo não resolve este problema em particular, mesmo sendo uma medida aconselhável.