Цитата noleiemit:
А вот IP 82.238.118.199 не поймешь, куда заходил? и что делал? »
|
"GET / HTTP/1.0" в логе вебсервера получается, если в браузере набрать
http://вашсервер
Если какая-либо страничка ("GET /index.php HTTP/1.0") -
http://вашсервер/index.php
С IP 82.238.118.199 каждую секунду (даже чаще) выполняется подключение
http://вашсервер.
Это хост stg25-1-82-238-118-199.fbx.proxad.net, возможно завирусенный/взломанный комп. Не исключено, что раньше (старый лог) был взломан (или частично взломан) и ваш сервер. Возможно
он использовался или его пытались использовать для заражения других компов.
А возможно он уже работает спам-ботом, например, Шлет рекламу виагры бедным юзерам. Или используется как SOCKS-прокси для своры ботов. А может быть и нет взлома, а неудачно завирусенные компы лезут к вам по ошибке настройки вируса.
Лог веб-сервера вам даст только информацию о запросах по HTTP. Да, лог настораживает, но что конкретно творится на сервере из него определить невозможно. Лучше всего - анализатор трафика.
Я так понял, у вас виртуальный хостинг? Unix/Linux ? Apache ? Есть ли возможность получить рутовый shell ? Есть ли возможность посмотреть трафик от вашего сервера ? или хотя бы netstat ?
Какие службы и логи доступны для вас ?
Ну, а если продолжать предположения, мне кажется было так - когда вы дали FTP-доступ пользователям, у кого-то из них произошла утечка учетных данных. Юзеры любят сохранять пароли в ftp-клиентах, а вирусы любят их воровать. После чего по ftp была залита какая-то гадость, доступ к которой выполнялся (или продолжает выполняться) по HTTP.