Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Хочу все знать (http://forum.oszone.net/forumdisplay.php?f=23)
-   -   [решено] Помогите расшифровать лог, вроде взломали хостинг по ftp (http://forum.oszone.net/showthread.php?t=123471)

noleiemit 19-11-2008 23:36 957574

Помогите расшифровать лог, вроде взломали хостинг по ftp
 
Доброго времени суток!

Вчера выдал несколько аккаунтов ftp для хранения файлов(размер каждой папки 1gb, для хранения файлов). Сегодня увидел в админке ISPmanager трафика в сотню раз больше обычного и огромный размер лога.

Открыл лог, даже не знаю как его расшифровать. Вроде где-то на хосте стоит прокси, не могу разобраться...проксю не ставил.На ftp только в одном аккаунте лежит rar архив на 110 метров, остальные аккаунты пустые и больше на хосте ничего подозрительного не нашёл.

Помогите разобраться по логу, что произошло с моим хостингом.

Вот свежий лог: дом.имя.access.log:

Кто, что может по нему сказать?

Цитата:

64.131.205.178 - - [19/Nov/2008:22:16:10 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98; Win 9x 4.90; H010818; AT&T CSM6.0)"
203.160.1.50 - - [19/Nov/2008:22:16:10 +0200] "GET / HTTP/1.0" 304 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.0.3705; .NET CLR 1.1.4322)"
64.131.205.178 - - [19/Nov/2008:22:16:11 +0200] "GET / HTTP/1.0" 200 24008 "-" "Googlebot/2.1 (+http://www.googlebawt.com/bot.html)"
82.238.118.199 - - [19/Nov/2008:22:16:11 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 compatible ZyBorg/1.0 (wn.zyborg@looksmart.net; http://www.lolyousuck.com)"
76.118.130.88 - - [19/Nov/2008:22:16:11 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Avast Browser [avastye.com]; .NET CLR 1.1.4322)"
64.131.205.178 - - [19/Nov/2008:22:16:12 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; ODI3 Navigator)"
64.131.205.178 - - [19/Nov/2008:22:16:12 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.0.3705; .NET CLR 1.1.4322)"
64.131.205.178 - - [19/Nov/2008:22:16:12 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.2; en-US; rv:1.5a) Gecko/20030728 Mozilla Firebird/0.6.1"
64.131.205.178 - - [19/Nov/2008:22:16:12 +0200] "GET / HTTP/1.0" 200 24008 "-" "Microsoft-WebDAV-MiniRedir/5.1.2600"
76.118.130.88 - - [19/Nov/2008:22:16:12 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.75 [en]"
82.238.118.199 - - [19/Nov/2008:22:16:12 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.2; en-US; rv:1.5a) Gecko/20030728 Mozilla Firebird/0.6.1"
64.131.205.178 - - [19/Nov/2008:22:16:12 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/5.0 (Slurp/si; slurp@inktomi.com; http://www.inktomi.com/slurp.html)"
82.238.118.199 - - [19/Nov/2008:22:16:12 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 1.0.3705)"
76.118.130.88 - - [19/Nov/2008:22:16:12 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.0; en-US; rv:1.5) Gecko/20031007"
76.118.130.88 - - [19/Nov/2008:22:16:12 +0200] "GET / HTTP/1.0" 200 24008 "-" "Microsoft-WebDAV-MiniRedir/5.1.2600"
203.160.1.50 - - [19/Nov/2008:22:16:13 +0200] "GET / HTTP/1.0" 304 - "-" "Mozilla/5.0 (Slurp/cat; vaginamook@inktomi.com; http://www.supercocklol.com/slurp.html)"
64.131.205.178 - - [19/Nov/2008:22:16:13 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.2; en-US; rv:1.5a) Gecko/20030728 Mozilla Firebird/0.6.1"
76.118.130.88 - - [19/Nov/2008:22:16:13 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Avast Browser [avastye.com]; .NET CLR 1.1.4322)"
82.238.118.199 - - [19/Nov/2008:22:16:14 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Hotbar 4.3.1.0)"
82.238.118.199 - - [19/Nov/2008:22:16:14 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.0.3705; .NET CLR 1.1.4322)"
64.131.205.178 - - [19/Nov/2008:22:16:14 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.0; en-US; rv:1.5a) Gecko/20030718"
76.118.130.88 - - [19/Nov/2008:22:16:14 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 compatible ZyBorg/1.0 (wn.zyborg@looksmart.net; http://www.lolyousuck.com)"
203.160.1.50 - - [19/Nov/2008:22:16:14 +0200] "GET / HTTP/1.0" 304 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Avast Browser [avastye.com]; .NET CLR 1.1.4322)"
82.238.118.199 - - [19/Nov/2008:22:16:15 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Avast Browser [avastye.com]; .NET CLR 1.1.4322)"
64.131.205.178 - - [19/Nov/2008:22:16:15 +0200] "GET / HTTP/1.0" 200 24008 "-" "Microsoft-WebDAV-MiniRedir/5.1.2600"
76.118.130.88 - - [19/Nov/2008:22:16:15 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98; Win 9x 4.90; H010818; AT&T CSM6.0)"
82.238.118.199 - - [19/Nov/2008:22:16:15 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98; Win 9x 4.90; H010818; AT&T CSM6.0)"
82.238.118.199 - - [19/Nov/2008:22:16:15 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
64.131.205.178 - - [19/Nov/2008:22:16:15 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98; Win 9x 4.90; H010818; AT&T CSM6.0)"
76.118.130.88 - - [19/Nov/2008:22:16:16 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
76.118.130.88 - - [19/Nov/2008:22:16:16 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
76.118.130.88 - - [19/Nov/2008:22:16:16 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 1.0.3705)"
82.238.118.199 - - [19/Nov/2008:22:16:16 +0200] "GET / HTTP/1.0" 200 24008 "-" "Lynx/2.8.4rel.1 libwww-FM/2.14 SSL-MM/1.4.1 GNUTLS/0.8.6"
64.131.205.178 - - [19/Nov/2008:22:16:16 +0200] "GET / HTTP/1.0" 200 24008 "-" "Googlebot/2.1 (+http://www.googlebawt.com/bot.html)"
203.160.1.50 - - [19/Nov/2008:22:16:16 +0200] "GET / HTTP/1.0" 304 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.0.3705; .NET CLR 1.1.4322)"
82.238.118.199 - - [19/Nov/2008:22:16:16 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 compatible ZyBorg/1.0 (wn.zyborg@looksmart.net; http://www.lolyousuck.com)"
64.131.205.178 - - [19/Nov/2008:22:16:17 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; ODI3 Navigator)"
82.238.118.199 - - [19/Nov/2008:22:16:17 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Q312461)"
64.131.205.178 - - [19/Nov/2008:22:16:17 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.2; en-US; rv:1.5a) Gecko/20030728 Mozilla Firebird/0.6.1"
64.131.205.178 - - [19/Nov/2008:22:16:17 +0200] "GET / HTTP/1.0" 200 24008 "-" "Microsoft-WebDAV-MiniRedir/5.1.2600"
71.238.125.104 - - [19/Nov/2008:22:16:17 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.2; en-US; rv:1.5a) Gecko/20030728 Mozilla Firebird/0.6.1"
76.118.130.88 - - [19/Nov/2008:22:16:17 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Avast Browser [avastye.com]; .NET CLR 1.1.4322)"
82.238.118.199 - - [19/Nov/2008:22:16:17 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.2; en-US; rv:1.5a) Gecko/20030728 Mozilla Firebird/0.6.1"
64.131.205.178 - - [19/Nov/2008:22:16:17 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/5.0 (Slurp/si; slurp@inktomi.com; http://www.inktomi.com/slurp.html)"
82.238.118.199 - - [19/Nov/2008:22:16:17 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 1.0.3705)"
71.238.125.104 - - [19/Nov/2008:22:16:17 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 5.0; Windows 98; DigExt)"
64.131.205.178 - - [19/Nov/2008:22:16:18 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.0.3705; .NET CLR 1.1.4322)"
76.118.130.88 - - [19/Nov/2008:22:16:18 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.75 [en]"
203.160.1.50 - - [19/Nov/2008:22:16:18 +0200] "GET / HTTP/1.0" 304 - "-" "Mozilla/5.0 (Slurp/cat; vaginamook@inktomi.com; http://www.supercocklol.com/slurp.html)"
+ сейчас отключил работу PHP, Cgi-bin, SSI, но все равно лог продолжает писать без изменений. Изменения трафика не могу просмотреть, т.к. он обновляется один раз ночью.

ab57 20-11-2008 12:32 958001

Цитата:

Цитата noleiemit
64.131.205.178 - - [19/Nov/2008:22:16:10 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98; Win 9x 4.90; H010818; AT&T CSM6.0)" »

Вообще-то обычный лог веб-сервера
64.131.205.178 - IP с которого было подключение
[19/Nov/2008:22:16:10 +0200] - дата, время, сдвиг от Гринвича (+2 часа)
"GET / HTTP/1.0" - запрос браузера, протокол.
200 24008 " - ответ сервера (все нормально, OK)
И данные о браузере, ОС и т.п. Здесь настораживает, что по одному и тому же IP клиента выдается разная информация, и уж точно один из них не бот Google.

Отсюда больше ничего не определишь. Единственно, что смущает - интенсивность запросов и IP клиентов. География тоже - Францмя, Вьетнам, странно. По идее они должны быть из России ?
Нужно анализировать трафик, а это всего лишь лог веб-сервера.
Цитата:

Цитата noleiemit
На ftp только в одном аккаунте лежит rar архив на 110 метров, »

- так может быть его и качают ?

noleiemit 20-11-2008 18:54 958339

Цитата:

Вообще-то обычный лог веб-сервера
Чем может быть вызван такой лог? До создания и раздачи ftp-аккаунтов был скромный лог, буквально 20-30 строк.
По нём видны ссылки файлов, которые качают
Цитата:

так может быть его и качают ?
сейчас изменил путь к папке, где лежат файлы - лог продолжает писать без изменений.

Цитата:

Отсюда больше ничего не определишь. Единственно, что смущает - интенсивность запросов и IP клиентов. География тоже - Францмя, Вьетнам, странно. По идее они должны быть из России ?
Из России, и притом с одного IP.

Ещё странно:
1)что в логе только один браузер Mozilla от4.0 до 5.0 версии
нет ни Оперы, ни других браузеров.
2)сейчас в логе только один IP 82.238.118.199, больше никаких IP нет

Цитата:

82.238.118.199 - - [20/Nov/2008:20:02:37 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
82.238.118.199 - - [20/Nov/2008:20:02:37 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Hotbar 4.3.1.0)"
82.238.118.199 - - [20/Nov/2008:20:02:37 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.2; en-US; rv:1.5a) Gecko/20030728 Mozilla Firebird/0.6.1"
82.238.118.199 - - [20/Nov/2008:20:02:38 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.0.3705; .NET CLR 1.1.4322)"
82.238.118.199 - - [20/Nov/2008:20:02:39 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Avast Browser [avastye.com]; .NET CLR 1.1.4322)"
82.238.118.199 - - [20/Nov/2008:20:02:40 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Q312461)"
82.238.118.199 - - [20/Nov/2008:20:02:41 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98; Win 9x 4.90; H010818; AT&T CSM6.0)"
82.238.118.199 - - [20/Nov/2008:20:02:41 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 compatible ZyBorg/1.0 (wn.zyborg@looksmart.net; http://www.lolyousuck.com)"
82.238.118.199 - - [20/Nov/2008:20:02:41 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 1.0.3705)"
82.238.118.199 - - [20/Nov/2008:20:02:41 +0200] "GET / HTTP/1.0" 200 24008 "-" "Lynx/2.8.4rel.1 libwww-FM/2.14 SSL-MM/1.4.1 GNUTLS/0.8.6"
82.238.118.199 - - [20/Nov/2008:20:02:42 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
82.238.118.199 - - [20/Nov/2008:20:02:42 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Hotbar 4.3.1.0)"
82.238.118.199 - - [20/Nov/2008:20:02:43 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.2; en-US; rv:1.5a) Gecko/20030728 Mozilla Firebird/0.6.1"
82.238.118.199 - - [20/Nov/2008:20:02:44 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.0.3705; .NET CLR 1.1.4322)"
82.238.118.199 - - [20/Nov/2008:20:02:45 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Avast Browser [avastye.com]; .NET CLR 1.1.4322)"
82.238.118.199 - - [20/Nov/2008:20:02:45 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Q312461)"
82.238.118.199 - - [20/Nov/2008:20:02:46 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 compatible ZyBorg/1.0 (wn.zyborg@looksmart.net; http://www.lolyousuck.com)"
82.238.118.199 - - [20/Nov/2008:20:02:46 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98; Win 9x 4.90; H010818; AT&T CSM6.0)"
82.238.118.199 - - [20/Nov/2008:20:02:47 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 1.0.3705)"
82.238.118.199 - - [20/Nov/2008:20:02:48 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Hotbar 4.3.1.0)"
82.238.118.199 - - [20/Nov/2008:20:02:49 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.0.3705; .NET CLR 1.1.4322)"
82.238.118.199 - - [20/Nov/2008:20:02:49 +0200] "GET / HTTP/1.0" 200 24008 "-" "Lynx/2.8.4rel.1 libwww-FM/2.14 SSL-MM/1.4.1 GNUTLS/0.8.6"
82.238.118.199 - - [20/Nov/2008:20:02:49 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
82.238.118.199 - - [20/Nov/2008:20:02:49 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.2; en-US; rv:1.5a) Gecko/20030728 Mozilla Firebird/0.6.1"
82.238.118.199 - - [20/Nov/2008:20:02:50 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Q312461)"
82.238.118.199 - - [20/Nov/2008:20:02:51 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 compatible ZyBorg/1.0 (wn.zyborg@looksmart.net; http://www.lolyousuck.com)"
82.238.118.199 - - [20/Nov/2008:20:02:51 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98; Win 9x 4.90; H010818; AT&T CSM6.0)"
82.238.118.199 - - [20/Nov/2008:20:02:53 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Avast Browser [avastye.com]; .NET CLR 1.1.4322)"
82.238.118.199 - - [20/Nov/2008:20:02:53 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Hotbar 4.3.1.0)"
82.238.118.199 - - [20/Nov/2008:20:02:53 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.0.3705; .NET CLR 1.1.4322)"


По данным whois, сразу бросается PROXAD.

Кто знает что это такое?



Цитата:

inetnum: 82.238.116.0 - 82.238.119.255
netname: FR-PROXAD-ADSL
descr: Proxad / Free SAS
descr: Static pool (Freebox)
descr: stg25-1 (montbeliard)
descr: NCC#2005090519
country: FR
admin-c: ACP23-RIPE
tech-c: TCP8-RIPE
status: ASSIGNED PA
remarks: Spam/Abuse requests: mailto:abuse@proxad.net
mnt-by: PROXAD-MNT
source: RIPE # Filtered

role: Administrative Contact for ProXad
address: Free SAS / ProXad
address: 8, rue de la Ville L'Eveque
address: 75008 Paris
phone: +33 1 73 50 20 00
fax-no: +33 1 73 92 25 69
remarks: trouble: Information: http://www.proxad.net/
remarks: trouble: Spam/Abuse requests: mailto:abuse@proxad.net
admin-c: RA999-RIPE
tech-c: FG4214-RIPE
nic-hdl: ACP23-RIPE
mnt-by: PROXAD-MNT
source: RIPE # Filtered
abuse-mailbox: abuse@proxad.net

role: Technical Contact for ProXad
address: Free SAS / ProXad
address: 8, rue de la Ville L'Eveque
address: 75008 Paris
phone: +33 1 73 50 20 00
fax-no: +33 1 73 92 25 69
remarks: trouble: Information: http://www.proxad.net/
remarks: trouble: Spam/Abuse requests: mailto:abuse@proxad.net
admin-c: RA999-RIPE
tech-c: FG4214-RIPE
nic-hdl: TCP8-RIPE
mnt-by: PROXAD-MNT
source: RIPE # Filtered
abuse-mailbox: abuse@proxad.net

% Information related to '82.224.0.0/11AS12322'

route: 82.224.0.0/11
descr: ProXad network / Free SAS
descr: Paris, France
origin: AS12322
mnt-by: PROXAD-MNT
source: RIPE # Filtered

При переходе на proxad.net долго-догло переадресовывает на какуе-то англоязычную страницу с услугами ADSL и потребляет около 1.5 метров трафика. Второй и последующие разы мой браузер (Опера) выдает ошибку.

Negativ 20-11-2008 22:36 958557

noleiemit,
я бы забанил всю эту сетку нафик на шлюзе.

noleiemit 20-11-2008 23:09 958588

Negativ, это один IP, а вчера были различные сети IP из разных стран...всех вылавливать и банить...не реально

Вот свежий лог:

Цитата:

82.238.118.199 - - [20/Nov/2008:21:48:14 +0200] "GET / HTTP/1.0" 200 64 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Avast Browser [avastye.com]; .NET CLR 1.1.4322)"
82.238.118.199 - - [20/Nov/2008:21:48:14 +0200] "GET / HTTP/1.0" 200 64 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.0.3705; .NET CLR 1.1.4322)"
82.238.118.199 - - [20/Nov/2008:21:48:15 +0200] "GET / HTTP/1.0" 200 64 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 1.0.3705)"
82.238.118.199 - - [20/Nov/2008:21:48:15 +0200] "GET / HTTP/1.0" 200 64 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98; Win 9x 4.90; H010818; AT&T CSM6.0)"
82.238.118.199 - - [20/Nov/2008:21:48:16 +0200] "GET / HTTP/1.0" 200 64 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Q312461)"
82.238.118.199 - - [20/Nov/2008:21:48:16 +0200] "GET / HTTP/1.0" 200 64 "-" "Lynx/2.8.4rel.1 libwww-FM/2.14 SSL-MM/1.4.1 GNUTLS/0.8.6"
82.238.118.199 - - [20/Nov/2008:21:48:17 +0200] "GET / HTTP/1.0" 200 64 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
93.85.57.10 - - [20/Nov/2008:21:48:17 +0200] "GET /index.php HTTP/1.0" 200 157 "http://anli***.net.ru/" "Opera/9.61 (Windows NT 5.1; U; ru) Presto/2.1.1"
93.85.57.10 - - [20/Nov/2008:21:48:18 +0200] "GET /favicon.ico HTTP/1.0" 404 280 "http://anli***.net.ru/index.php" "Opera/9.61 (Windows NT 5.1; U; ru) Presto/2.1.1"
82.238.118.199 - - [20/Nov/2008:21:48:18 +0200] "GET / HTTP/1.0" 200 64 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Hotbar 4.3.1.0)"
82.238.118.199 - - [20/Nov/2008:21:48:18 +0200] "GET / HTTP/1.0" 200 64 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.2; en-US; rv:1.5a) Gecko/20030728 Mozilla Firebird/0.6.1"
чем отличается лог IP 93.85.57.10 и IP 82.238.118.199?
Ну, IP 93.85.57.10 понятно, что заходил на http://anli***.net.ru/
А вот IP 82.238.118.199 не поймешь, куда заходил? и что делал?

ab57 21-11-2008 09:41 958856

Цитата:

Цитата noleiemit
А вот IP 82.238.118.199 не поймешь, куда заходил? и что делал? »

"GET / HTTP/1.0" в логе вебсервера получается, если в браузере набрать http://вашсервер
Если какая-либо страничка ("GET /index.php HTTP/1.0") - http://вашсервер/index.php
С IP 82.238.118.199 каждую секунду (даже чаще) выполняется подключение http://вашсервер.
Это хост stg25-1-82-238-118-199.fbx.proxad.net, возможно завирусенный/взломанный комп. Не исключено, что раньше (старый лог) был взломан (или частично взломан) и ваш сервер. Возможно
он использовался или его пытались использовать для заражения других компов.
А возможно он уже работает спам-ботом, например, Шлет рекламу виагры бедным юзерам. Или используется как SOCKS-прокси для своры ботов. А может быть и нет взлома, а неудачно завирусенные компы лезут к вам по ошибке настройки вируса.
Лог веб-сервера вам даст только информацию о запросах по HTTP. Да, лог настораживает, но что конкретно творится на сервере из него определить невозможно. Лучше всего - анализатор трафика.
Я так понял, у вас виртуальный хостинг? Unix/Linux ? Apache ? Есть ли возможность получить рутовый shell ? Есть ли возможность посмотреть трафик от вашего сервера ? или хотя бы netstat ?
Какие службы и логи доступны для вас ?
Ну, а если продолжать предположения, мне кажется было так - когда вы дали FTP-доступ пользователям, у кого-то из них произошла утечка учетных данных. Юзеры любят сохранять пароли в ftp-клиентах, а вирусы любят их воровать. После чего по ftp была залита какая-то гадость, доступ к которой выполнялся (или продолжает выполняться) по HTTP.

noleiemit 21-11-2008 15:55 959217

Цитата:

Цитата ab57
Я так понял, у вас виртуальный хостинг? Unix/Linux ? Apache ? Есть ли возможность получить рутовый shell ? Есть ли возможность посмотреть трафик от вашего сервера ? или хотя бы netstat ?
Какие службы и логи доступны для вас ? »

Да, у меня обычный виртуальный хостинг Linux, php как модуль Apache
А вот просмотреть рутовый shell, просмотреть трафик от вашего сервера, netstat скорее всего не возможно...хотя я плохо знаком с хостингом (он мне нужен только для фтп). У меня панель управления ISPmanager, в ней ничего похожего не видел.

Цитата:

Цитата ab57
После чего по ftp была залита какая-то гадость, доступ к которой выполнялся (или продолжает выполняться) по HTTP. »

Где мне эту гадость искать? если в папках на фтп, кроме мультимедионных файлов ничего нет, там лежит музыка, видео архивы по 100 метров, самому страрому файлу около 8 часов.

В последнее время, как в логе появился только IP 82.238.118.199, трафика стало израсходываться меньше, на уровне обычного.

Как мне заблокировать IP 82.238.118.199 для моего хоста? Это возможно сделать через панель управления ISPmanager?

Если я заблокирую доступ к сайту с IP 82.238.118.199, то он все равно будет ссылаться на сайт, просто не будет видеть содержания, а увидит только надпись "Для вашего IP 82.238.118.199 доступ закрыт"

ab57 21-11-2008 20:03 959469

Цитата:

Цитата noleiemit
Где мне эту гадость искать? »

Судя по той части лога, что выкладывалась здесь, обращение шло к корню веб-сервера, поэтому искать нужно там (файлы главной страницы - index.php index.htm, index.html...)
Но, наверно уже поздно.
По последнему логу, похоже, что в корне веб-сервера пусто (сервер отправил 64 байта), наверно вирусняк был удален антивирусом вашего хостингера.
Цитата:

Цитата noleiemit
Как мне заблокировать IP 82.238.118.199 для моего хоста? »

К сожалению ISPmanager для меня - китайская грамота, никогда не видел и понятия не имею, как им пользоваться. Наверно, какая-то возможность блокировки в нем предусмотрена, может кто из форумчан подскажет.
Ну, а касаемо IP 82.238.118.199 сейчас от него единственная неприятность - лишний, хоть и небольшой трафик, наверно мегов 20 в сутки ? Если трафик не волнует, можно на это дело не обращать внимания, скорее всего - это жертва, а не враг. Рано или поздно хозяин, (админ) или обновившийся антивирус исправят ситуацию.
Я бы, на вашем месте, сменил все пароли.
А вообще-то, я чуть позже отправлю вам личное сообщение, посмотрим, что еще можно сделать.

noleiemit 01-12-2008 21:03 969317

Прошло некоторое время. Узнал все-таки что это было.
Какой-то плохой человек заказал на мой ресурс дос-аттаку, которая длилась не долго.
А насчет IP 82.238.118.199. Попросил у хостера забанить этот IP.
На всякий случай поменял все пароли для ftp. Сейчас проблем нет. Спасибо всем, кто помогал!


Время: 14:25.

Время: 14:25.
© OSzone.net 2001-