Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  

Показать сообщение отдельно

Старожил


Сообщения: 214
Благодарности: 53

Профиль | Отправить PM | Цитировать


Цитата noleiemit:
А вот IP 82.238.118.199 не поймешь, куда заходил? и что делал? »
"GET / HTTP/1.0" в логе вебсервера получается, если в браузере набрать http://вашсервер
Если какая-либо страничка ("GET /index.php HTTP/1.0") - http://вашсервер/index.php
С IP 82.238.118.199 каждую секунду (даже чаще) выполняется подключение http://вашсервер.
Это хост stg25-1-82-238-118-199.fbx.proxad.net, возможно завирусенный/взломанный комп. Не исключено, что раньше (старый лог) был взломан (или частично взломан) и ваш сервер. Возможно
он использовался или его пытались использовать для заражения других компов.
А возможно он уже работает спам-ботом, например, Шлет рекламу виагры бедным юзерам. Или используется как SOCKS-прокси для своры ботов. А может быть и нет взлома, а неудачно завирусенные компы лезут к вам по ошибке настройки вируса.
Лог веб-сервера вам даст только информацию о запросах по HTTP. Да, лог настораживает, но что конкретно творится на сервере из него определить невозможно. Лучше всего - анализатор трафика.
Я так понял, у вас виртуальный хостинг? Unix/Linux ? Apache ? Есть ли возможность получить рутовый shell ? Есть ли возможность посмотреть трафик от вашего сервера ? или хотя бы netstat ?
Какие службы и логи доступны для вас ?
Ну, а если продолжать предположения, мне кажется было так - когда вы дали FTP-доступ пользователям, у кого-то из них произошла утечка учетных данных. Юзеры любят сохранять пароли в ftp-клиентах, а вирусы любят их воровать. После чего по ftp была залита какая-то гадость, доступ к которой выполнялся (или продолжает выполняться) по HTTP.

-------
Переустановка Windows - как разморозка холодильника. Помогает, но ненадолго...


Последний раз редактировалось ab57, 21-11-2008 в 10:00.

Это сообщение посчитали полезным следующие участники:

Отправлено: 09:41, 21-11-2008 | #6