|
Помогите расшифровать лог, вроде взломали хостинг по ftp
Доброго времени суток!
Вчера выдал несколько аккаунтов ftp для хранения файлов(размер каждой папки 1gb, для хранения файлов). Сегодня увидел в админке ISPmanager трафика в сотню раз больше обычного и огромный размер лога. Открыл лог, даже не знаю как его расшифровать. Вроде где-то на хосте стоит прокси, не могу разобраться...проксю не ставил.На ftp только в одном аккаунте лежит rar архив на 110 метров, остальные аккаунты пустые и больше на хосте ничего подозрительного не нашёл. Помогите разобраться по логу, что произошло с моим хостингом. Вот свежий лог: дом.имя.access.log: Кто, что может по нему сказать? Цитата:
|
Цитата:
64.131.205.178 - IP с которого было подключение [19/Nov/2008:22:16:10 +0200] - дата, время, сдвиг от Гринвича (+2 часа) "GET / HTTP/1.0" - запрос браузера, протокол. 200 24008 " - ответ сервера (все нормально, OK) И данные о браузере, ОС и т.п. Здесь настораживает, что по одному и тому же IP клиента выдается разная информация, и уж точно один из них не бот Google. Отсюда больше ничего не определишь. Единственно, что смущает - интенсивность запросов и IP клиентов. География тоже - Францмя, Вьетнам, странно. По идее они должны быть из России ? Нужно анализировать трафик, а это всего лишь лог веб-сервера. Цитата:
|
Цитата:
По нём видны ссылки файлов, которые качают Цитата:
Цитата:
Ещё странно: 1)что в логе только один браузер Mozilla от4.0 до 5.0 версии нет ни Оперы, ни других браузеров. 2)сейчас в логе только один IP 82.238.118.199, больше никаких IP нет Цитата:
По данным whois, сразу бросается PROXAD. Кто знает что это такое? Цитата:
При переходе на proxad.net долго-догло переадресовывает на какуе-то англоязычную страницу с услугами ADSL и потребляет около 1.5 метров трафика. Второй и последующие разы мой браузер (Опера) выдает ошибку. |
noleiemit,
я бы забанил всю эту сетку нафик на шлюзе. |
Negativ, это один IP, а вчера были различные сети IP из разных стран...всех вылавливать и банить...не реально
Вот свежий лог: Цитата:
Ну, IP 93.85.57.10 понятно, что заходил на http://anli***.net.ru/ А вот IP 82.238.118.199 не поймешь, куда заходил? и что делал? |
Цитата:
Если какая-либо страничка ("GET /index.php HTTP/1.0") - http://вашсервер/index.php С IP 82.238.118.199 каждую секунду (даже чаще) выполняется подключение http://вашсервер. Это хост stg25-1-82-238-118-199.fbx.proxad.net, возможно завирусенный/взломанный комп. Не исключено, что раньше (старый лог) был взломан (или частично взломан) и ваш сервер. Возможно он использовался или его пытались использовать для заражения других компов. А возможно он уже работает спам-ботом, например, Шлет рекламу виагры бедным юзерам. Или используется как SOCKS-прокси для своры ботов. А может быть и нет взлома, а неудачно завирусенные компы лезут к вам по ошибке настройки вируса. Лог веб-сервера вам даст только информацию о запросах по HTTP. Да, лог настораживает, но что конкретно творится на сервере из него определить невозможно. Лучше всего - анализатор трафика. Я так понял, у вас виртуальный хостинг? Unix/Linux ? Apache ? Есть ли возможность получить рутовый shell ? Есть ли возможность посмотреть трафик от вашего сервера ? или хотя бы netstat ? Какие службы и логи доступны для вас ? Ну, а если продолжать предположения, мне кажется было так - когда вы дали FTP-доступ пользователям, у кого-то из них произошла утечка учетных данных. Юзеры любят сохранять пароли в ftp-клиентах, а вирусы любят их воровать. После чего по ftp была залита какая-то гадость, доступ к которой выполнялся (или продолжает выполняться) по HTTP. |
Цитата:
А вот просмотреть рутовый shell, просмотреть трафик от вашего сервера, netstat скорее всего не возможно...хотя я плохо знаком с хостингом (он мне нужен только для фтп). У меня панель управления ISPmanager, в ней ничего похожего не видел. Цитата:
В последнее время, как в логе появился только IP 82.238.118.199, трафика стало израсходываться меньше, на уровне обычного. Как мне заблокировать IP 82.238.118.199 для моего хоста? Это возможно сделать через панель управления ISPmanager? Если я заблокирую доступ к сайту с IP 82.238.118.199, то он все равно будет ссылаться на сайт, просто не будет видеть содержания, а увидит только надпись "Для вашего IP 82.238.118.199 доступ закрыт" |
Цитата:
Но, наверно уже поздно. По последнему логу, похоже, что в корне веб-сервера пусто (сервер отправил 64 байта), наверно вирусняк был удален антивирусом вашего хостингера. Цитата:
Ну, а касаемо IP 82.238.118.199 сейчас от него единственная неприятность - лишний, хоть и небольшой трафик, наверно мегов 20 в сутки ? Если трафик не волнует, можно на это дело не обращать внимания, скорее всего - это жертва, а не враг. Рано или поздно хозяин, (админ) или обновившийся антивирус исправят ситуацию. Я бы, на вашем месте, сменил все пароли. А вообще-то, я чуть позже отправлю вам личное сообщение, посмотрим, что еще можно сделать. |
Прошло некоторое время. Узнал все-таки что это было.
Какой-то плохой человек заказал на мой ресурс дос-аттаку, которая длилась не долго. А насчет IP 82.238.118.199. Попросил у хостера забанить этот IP. На всякий случай поменял все пароли для ftp. Сейчас проблем нет. Спасибо всем, кто помогал! |
| Время: 07:37. |
Время: 07:37.
© OSzone.net 2001-