Есть 2003 сервер. IP серый. В маршрутизаторе настроен динамический ДНС через dyndns.org. Журнал регистрации событий за сегодня выглядит примерно так :

21.03.2012,16:09:44,MSFTPSVC,Предупреждение,Отсутствует,100,Н/Д,SERVER,Не удалось выполнить вход на сервер с учетной записью Windows NT 'Administrador' из-за следующей ошибки: Вход в систему не произведен: имя пользователя или пароль не опознаны.  Данные содержат код ошибки.
21.03.2012,16:09:43,MSFTPSVC,Предупреждение,Отсутствует,100,Н/Д,SERVER,Не удалось выполнить вход на сервер с учетной записью Windows NT 'Administrador' из-за следующей ошибки: Вход в систему не произведен: имя пользователя или пароль не опознаны.  Данные содержат код ошибки.
...
И так с 13:41:22 по 16:09:44 с периодичностью примерно 1,5 раза в сек.
С одним и тем же именем.
Я так понимаю (исходя из категории MSFTPSVC) долбятся по ФТП?
Хотелось бы совета как избавиться.

AdministraDor Либо хаккер-недоучка, либо ваш внутренний скрипт с ошбкой в параметрах авторизации

(1) Рекомендуете забить?

+(2) На сервере вообще и на ФТП вчастности вообще нет юзера с именем Administator либо AdministraDor.

если айпишник серый, значит, долбятся из локалки?

может, вирусня? кидо подбирал пароли

(4) Врядли из локалки. Я со стороны инета подключаюсь по доменному имени без проблем.

(5) То, что долбится робот - 100 пудов. Ручками долбить адрес, имя и пароль с частотой 1 герц - такое за деньги можно показывать.
Меня смущает время старта и останова процесса.

забань в маршрутизаторе долбящийся айпишник, если он один. если их много, может, стоит сменить доменное имя?

(7) Если бы знал как определить тот самый айпишник - уже бы забанил...(((

И еще одно непонятно. Если подбирается имя входа - почему оно одно и то же? Или долбят различные комбинации пароля для одного и того же имени?

так у тя ж этого имени нет )

забей. Все публичные ресурсы продалбливаются регулярно, если на все обращать внимание - поседеешь.
Политику паролей правильно поставь, штоб ему пару тысяч лет подбирать.

(6) 1. Почему вряд ли?
(8) посмотри в маршрутизаторе активные подключения

(12)
1. Зачем из локалки ходить на сервер по ФТП?

2. Сейчас уже никто не долбит. Активных подключений нет.

(11) Видимо придется забить. Пока входа не получилось - ну и фик сним.

(13)
1. Почему бы и нет? И даже если вирус, он мог и из локалки долбиться.
2. В логах что?

(15) Логи %:?*( на маршрутизаторе выключены. Сейчас включу - завтра буду глядеть, если повторится.

+(16) Не подскажешь какой уровень логирования нужен?
Есть :
Emergency
Alert
Critical
Error
Warning
Notice
Information
Debugging

И какую сторону включить?
Есть :
Local
Remote
Both

(16) руки отрывать за выключение логов.
(17) я бы поставила Error (хотя в идеале все должны быть включены, мало ли что), в обе стороны (both)

(18)
1. Целиком и полностью ...
2. Выбирается только один. И, думаю, перенаправление на внутренний порт Error-ом для маршрутизатора не будет?

Поставлю Notice и на обе стороны.

Завтра буду смотреть. Всем спасибо.

(19) обе - это пункт both ))

+(20) перенаправление - не будет, а вот неудачная попытка авторизации - вполне. я бы такой риск не исключала.

(21) Ну так уровень Notice включает в себя и Error. И потом авторизация не проходит уже за маршрутизатором - на сервере.

(22) я чет на автомате снизу вверх уровни считала, сорри))

Чудны дела твои господи...
Включил логирование, посмотрел адреса. По адресу 91.144.135.56 на НТТР торчит чей-то маршрутизатор интерфейсом наружу... Может и мой также выглядывает? (адрес не скажу ))).

(24) по приколу попробуй на тот маршрутизатор залогиниться))
а на своем кури настройки безопасности

(25) Ну так... Уже попробовал ))). По дефолту не пустили. А подбирать - оно мну нужно?

Интересно - почему маршрутизатор пробрасывает входящие пакеты неведомо от кого именно на сервер с 2003? Это должно быть специально настроено в маршрутизаторах, иначе - входящий пакет снаружи  будет просто отброшен.

(27) FTP-сервер, которому, как я понимаю, разрешены любые подключения с внешки.

(28) И почему для автора это неожидано? Если у него там фтп сервис поднят с пробросом из внешки - то таких "атак" - по тысячи и более в день может быть, чему тут удивляться?

Маршрутизатор пробрасывает пакеты по запрограммированным в нём правилам и обычно в них указывается входящий адрес и порт,а про "неведомо от кого" он просто и не знает.
Можешь отключить ftp в настройках-только тогда никто на него не зайдёт.

(30) скорее надо писать правила для ФТП, но если заходят сотрудники с удаленки - то *опа будет.

Можно включать правило по команде через web-интерфейс,чтобы все попытки входа шли мимо-хотя можно просто пароль выдавать временный и только на момент подключения-тогда не сломают,но паразитный трафик всё равно будет.
Просто выключение ftp проброса удобнее тем,что сканирован-е портов не покажет доступного ftp-и роботы сразу отвалятся

(0)
брутфорс самая беспантовая атака....
забудь