podivná příchozí spojení

[Peter33]

Zdravim. Prosim vas, mam problem se siti. V programu Etherape vidim prichozi ftp spojeni, ikdyz vypnu ftp server, zablokuju porty 20 a 21 na firewallu i vypnu natovani ftp v routeru... a spojeni skutecne probiha i podle aktivity routeru... mam z toho strach. Potom se mi taky deje, ze mam xmpp spojeni odchozi k jabber.org, ikdyz nemam spusteny jabber klient, i po restartu systemu.... Jinak zpet k tomu ftp spojení... mam ftp server vsftpd a nastaveny pro anonymní přístup, ale pouze s heslem emailové adresy, jejichž seznam povolený mam v souboru. V logu vsftpd toto spojení skutečně je, ale jako by se tento uživatel vůbec nepřihlásil, neni uvedene heslo jake pouzil, pritom bez hesla by se "nemelo" jit prihlasit. ale probíhá solidní upload... i po ukončení vsftpd až do restartu systému... 
v logu mam: Tue Mar 10 16:04:47 2009 [pid 5863] CONNECT: Client "89.149.202.131"
Je možné, že se třeba jedná o nějaký slovníkový útok nebo tak, nevim jestli skutečně probíhá upload nějakých souborů, ale nechápu jak je možné, že i po ukončení deamona vsftpd spojení dál probíhá...

[picard]

To nemusí být nutně zločinec, to může být třeba policie Velké Británie, která má britským zákonem povoleno prohledávat počítače v celé Evropské unii, jestli neobsahují nežádoucí data.

[Peter33]

Tak to bude nějaký útok, protože to spojení má stejně velký upload i download, což je poněkud divné a při pohledu na obsah packetů, tak to skutečně vypadá na spoustu špatných přihlášní. Takže už bych se chtěl jen zeptat, jak je možné, že ukončení vsftpd neukončí probíhající spojení a jak je případně ukončit. A jak například omezit počet přihlášení například za minutu?

[Peter33]

To nemusí být nutně zločinec, to může být třeba policie Velké Británie, která má britským zákonem povoleno prohledávat počítače v celé Evropské unii, jestli neobsahují nežádoucí data.

No, nežádoucí data... je to hudba, ale zaheslovaná, takže žádné veřejné sdílení neprobíhá...  Jinak IP adresa patří někomu ve Frankfurtu....