Hello Eddi,

Wie und wo bekomme ich Fehlversuche des proftpd gelogged?

ähnlich dem Apachen, musst Du dafür selbst sorgen: http://www.proftpd.de/HowTo-Logging.31.0.html
Dabei findet keine Erfassung auf Systemebene statt, als dass Fehlschläge sich dort niederschlagen würden.

Danke Dir, das hilft mir weiter, sollten wir den Proftpd doch wieder einschalten. Im Zusammenspiel mit fail2ban, einer Mindestlänge für Passworte sowie regelmäßigem Wechsel scheint mir das dann doch wieder möglich.

Wir sind uns inzwischen relativ sicher, dass die Hacker aus dem Umfeld des Kunden kommen müssen, also aus seiner Firma. Der Account-Name wurde massiv benutzt, das Passwort wurde experimentell ermittelt. Woher sollten echte Hacker den Namen so zielstrebig gewusst haben? Und als wir der Firma mitgeteilt haben, dass nun ein spezielles Logging stattfinden würde, war ein paar Stunden später schlagartig Schluss mit den Angriffen.

Liebe Grüße aus dem schönen Oberharz

Tom vom Berg