Moin,

Demnach hat er sich erfolgreich eingeloggt (On the other hand, if account information is NOT
            required for login, the reply to a successful PASSword
            command is 230) und abschließend erfolgreich ausgeloggt. Nur, was hat "er" gewollt, in nur 4 sekunden??? :)

Na ftp://218.104.148.36/C:\DOKUME~1\PATRIC~1\LOKALE~1\Temp./ls000001.ftp natürlich.

Du hast anscheinend anonymous ftp aktiviert und allen Leuten erlaubt wild Dateien von deiner Platte (oder zumindest dem Temp-Verzeichnis) runterzuladen. Der Dateiname deutet aber AFAIK darauf hin, dass das erstmal nur ein Verzeichnislisting war. Die werden nämlich ähnlich wie Dateien durch FTP übertragen und dein Server hat wohl eine temporäre Datei erstellt, das Listing dort reingepackt und die anschließend an den Anfrager übermittelt. (Oder er hat zumindest so getan als ob.)

Für mich sieht das aus, als wäre das ein automatisierter Scanner der sich mit einem Rechner verbindet, anonym einloggt, ein Verzeichnislisting holt und wieder ausloggt. Falls du irgendwas interessantes da liegen hast, kannst du dich darauf gefasst machen, später nochmal Besuch zu bekommen, wenn der Besitzer des Scanners dessen Logs durchgeht.

Lies: "Stell' den FTP-Zugang ab oder du wirst als Warez-Umtauschplatz enden."