服务器 FTP 服务如何防止暴力破解？

xuchunyang · 2022 年1 月 16 日 15:43

晚上收到腾讯云短信提示中木马了：

赶紧登录服务器调查，起初怀疑网站有漏洞，调查后发现我设置的 FTP 用户名密码太简单了，被人暴力破解了：

# grep failed /var/log/messages | wc -l
1008
# grep failed /var/log/messages | tail -10
Jan 16 22:57:06 VM-4-3-centos pure-ftpd: ([email protected]) [WARNING] Authentication failed for user [www-data]
Jan 16 22:57:11 VM-4-3-centos pure-ftpd: ([email protected]) [WARNING] Authentication failed for user [www-data]
Jan 16 22:57:15 VM-4-3-centos pure-ftpd: ([email protected]) [WARNING] Authentication failed for user [www-data]
Jan 16 22:57:21 VM-4-3-centos pure-ftpd: ([email protected]) [WARNING] Authentication failed for user [www-data]
Jan 16 22:57:26 VM-4-3-centos pure-ftpd: ([email protected]) [WARNING] Authentication failed for user [www-data]
Jan 16 22:57:30 VM-4-3-centos pure-ftpd: ([email protected]) [WARNING] Authentication failed for user [www-data]
Jan 16 22:57:34 VM-4-3-centos pure-ftpd: ([email protected]) [WARNING] Authentication failed for user [www-data]
Jan 16 22:57:37 VM-4-3-centos pure-ftpd: ([email protected]) [WARNING] Authentication failed for user [www-data]
Jan 16 22:57:43 VM-4-3-centos pure-ftpd: ([email protected]) [WARNING] Authentication failed for user [www-data]

我已经修改了 FTP 登录信息，改用更加复杂的密码了，并重启了 FTP 服务。现在还想想了解下如何防止暴力破解？

环境：腾讯云轻量服务器官方宝塔控制面板（CentOS）+ Pure-FTPd

LdBeth · 2022 年1 月 16 日 16:47

用 sftp。

除非是在内网用不然别开 ftp，ftp 已经惨到随便哪个脚本小子都能爆破了。

xhcoding · 2022 年1 月 17 日 01:34

方便的话，可以改默认端口

xuchunyang · 2022 年1 月 17 日 02:30

我自己不用 FTP，但是要给同事和客户用，果然还是太大意了，我把用户名和密码设成一样的了，图省事图方便，以后一定弄个复杂的密码。

以前也听说过 fail2ban 的，但是已经用了宝塔面板了，基本上也不想（也缺少足够的能力）自己管理服务器了

不大方便，要给其他人解释【端口】是啥，很多人缺少对网络协议的基本常识

cireu · 2022 年1 月 17 日 02:34

那你可以用 ftps，就是ftp＋ssl

xhcoding · 2022 年1 月 17 日 03:01

ssl 用密钥登录应该可以避免，但是用账号密码登录还是要设置复杂一些。

之前我的服务器 ssh 都被暴力破解了，然后通过 ssh 在服务器上面执行一些奇怪的脚本

yuzhou · 2022 年1 月 17 日 05:53

怕是放了后门？