Poging tot hacken, wat nu?

He Iedereen,

Ik heb op mijn thuisservertje een aantal services draaien, waaronder een FTP servertje. Nu zat ik vanmiddag mn logs een beetje door te kijken en daar kwam ik een aantal rare entries tegen in de vsftpd.log.

Sat Dec 19 01:42:07 2009 [pid 2] CONNECT: Client "80.92.84.***"
Sat Dec 19 01:42:09 2009 [pid 1] [mysql] FAIL LOGIN: Client "80.92.84.***"
Sat Dec 19 01:42:12 2009 [pid 1] [mysql] FAIL LOGIN: Client "80.92.84.***"
Sat Dec 19 01:42:15 2009 [pid 1] [mysql] FAIL LOGIN: Client "80.92.84.***"


Sat Dec 26 05:53:05 2009 [pid 2] CONNECT: Client "80.92.84.***"
Sat Dec 26 05:53:05 2009 [pid 1] [ftp] OK LOGIN: Client "80.92.84.***", anon pas$

Het lijkt er op dat er vanaf het genoemde IP gepoogd is in te loggen met verschillende 'standaard' accounts; zowel de mysql user als de anonymous user.

Nu vroeg ik me af of je hier nu nog iets mee kan doen, zoals aangifte bij de politie of bij de internet provider van de aanvaller.

Overigens, ondanks dat de anonymous account niet uit staat, heeft de account verder geen rechten. In andere logfiles kwam dit ip adres niet voor.

@asing: het gaat niet om ssh logins maar ftp, mijn ssh draait niet op poort 22.

@rest: dank voor de reacties, ip blacklisten verder niets mee doen. Het was overigens een ip dat uit Luxemburg kwam. Ik denk ook niet dat het brute force was gezien het aantal pogingen laag en de tijd er tussen te groot is voor een geautomatiseerde aanval. Over het 'bij iemand aan de deur kloppen', theoretisch is ie ook binnen geweest, al was het een lege kamer waar hij binnen kwam.