Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Компьютеры + Интернет » Хочу все знать » [решено] Помогите расшифровать лог, вроде взломали хостинг по ftp

Ответить
Настройки темы
[решено] Помогите расшифровать лог, вроде взломали хостинг по ftp

Новый участник


Сообщения: 46
Благодарности: 0

Профиль | Отправить PM | Цитировать


Доброго времени суток!

Вчера выдал несколько аккаунтов ftp для хранения файлов(размер каждой папки 1gb, для хранения файлов). Сегодня увидел в админке ISPmanager трафика в сотню раз больше обычного и огромный размер лога.

Открыл лог, даже не знаю как его расшифровать. Вроде где-то на хосте стоит прокси, не могу разобраться...проксю не ставил.На ftp только в одном аккаунте лежит rar архив на 110 метров, остальные аккаунты пустые и больше на хосте ничего подозрительного не нашёл.

Помогите разобраться по логу, что произошло с моим хостингом.

Вот свежий лог: дом.имя.access.log:

Кто, что может по нему сказать?

Цитата:
64.131.205.178 - - [19/Nov/2008:22:16:10 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98; Win 9x 4.90; H010818; AT&T CSM6.0)"
203.160.1.50 - - [19/Nov/2008:22:16:10 +0200] "GET / HTTP/1.0" 304 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.0.3705; .NET CLR 1.1.4322)"
64.131.205.178 - - [19/Nov/2008:22:16:11 +0200] "GET / HTTP/1.0" 200 24008 "-" "Googlebot/2.1 (+http://www.googlebawt.com/bot.html)"
82.238.118.199 - - [19/Nov/2008:22:16:11 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 compatible ZyBorg/1.0 (wn.zyborg@looksmart.net; http://www.lolyousuck.com)"
76.118.130.88 - - [19/Nov/2008:22:16:11 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Avast Browser [avastye.com]; .NET CLR 1.1.4322)"
64.131.205.178 - - [19/Nov/2008:22:16:12 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; ODI3 Navigator)"
64.131.205.178 - - [19/Nov/2008:22:16:12 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.0.3705; .NET CLR 1.1.4322)"
64.131.205.178 - - [19/Nov/2008:22:16:12 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.2; en-US; rv:1.5a) Gecko/20030728 Mozilla Firebird/0.6.1"
64.131.205.178 - - [19/Nov/2008:22:16:12 +0200] "GET / HTTP/1.0" 200 24008 "-" "Microsoft-WebDAV-MiniRedir/5.1.2600"
76.118.130.88 - - [19/Nov/2008:22:16:12 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.75 [en]"
82.238.118.199 - - [19/Nov/2008:22:16:12 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.2; en-US; rv:1.5a) Gecko/20030728 Mozilla Firebird/0.6.1"
64.131.205.178 - - [19/Nov/2008:22:16:12 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/5.0 (Slurp/si; slurp@inktomi.com; http://www.inktomi.com/slurp.html)"
82.238.118.199 - - [19/Nov/2008:22:16:12 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 1.0.3705)"
76.118.130.88 - - [19/Nov/2008:22:16:12 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.0; en-US; rv:1.5) Gecko/20031007"
76.118.130.88 - - [19/Nov/2008:22:16:12 +0200] "GET / HTTP/1.0" 200 24008 "-" "Microsoft-WebDAV-MiniRedir/5.1.2600"
203.160.1.50 - - [19/Nov/2008:22:16:13 +0200] "GET / HTTP/1.0" 304 - "-" "Mozilla/5.0 (Slurp/cat; vaginamook@inktomi.com; http://www.supercocklol.com/slurp.html)"
64.131.205.178 - - [19/Nov/2008:22:16:13 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.2; en-US; rv:1.5a) Gecko/20030728 Mozilla Firebird/0.6.1"
76.118.130.88 - - [19/Nov/2008:22:16:13 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Avast Browser [avastye.com]; .NET CLR 1.1.4322)"
82.238.118.199 - - [19/Nov/2008:22:16:14 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Hotbar 4.3.1.0)"
82.238.118.199 - - [19/Nov/2008:22:16:14 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.0.3705; .NET CLR 1.1.4322)"
64.131.205.178 - - [19/Nov/2008:22:16:14 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.0; en-US; rv:1.5a) Gecko/20030718"
76.118.130.88 - - [19/Nov/2008:22:16:14 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 compatible ZyBorg/1.0 (wn.zyborg@looksmart.net; http://www.lolyousuck.com)"
203.160.1.50 - - [19/Nov/2008:22:16:14 +0200] "GET / HTTP/1.0" 304 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Avast Browser [avastye.com]; .NET CLR 1.1.4322)"
82.238.118.199 - - [19/Nov/2008:22:16:15 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Avast Browser [avastye.com]; .NET CLR 1.1.4322)"
64.131.205.178 - - [19/Nov/2008:22:16:15 +0200] "GET / HTTP/1.0" 200 24008 "-" "Microsoft-WebDAV-MiniRedir/5.1.2600"
76.118.130.88 - - [19/Nov/2008:22:16:15 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98; Win 9x 4.90; H010818; AT&T CSM6.0)"
82.238.118.199 - - [19/Nov/2008:22:16:15 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98; Win 9x 4.90; H010818; AT&T CSM6.0)"
82.238.118.199 - - [19/Nov/2008:22:16:15 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
64.131.205.178 - - [19/Nov/2008:22:16:15 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98; Win 9x 4.90; H010818; AT&T CSM6.0)"
76.118.130.88 - - [19/Nov/2008:22:16:16 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
76.118.130.88 - - [19/Nov/2008:22:16:16 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
76.118.130.88 - - [19/Nov/2008:22:16:16 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 1.0.3705)"
82.238.118.199 - - [19/Nov/2008:22:16:16 +0200] "GET / HTTP/1.0" 200 24008 "-" "Lynx/2.8.4rel.1 libwww-FM/2.14 SSL-MM/1.4.1 GNUTLS/0.8.6"
64.131.205.178 - - [19/Nov/2008:22:16:16 +0200] "GET / HTTP/1.0" 200 24008 "-" "Googlebot/2.1 (+http://www.googlebawt.com/bot.html)"
203.160.1.50 - - [19/Nov/2008:22:16:16 +0200] "GET / HTTP/1.0" 304 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.0.3705; .NET CLR 1.1.4322)"
82.238.118.199 - - [19/Nov/2008:22:16:16 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 compatible ZyBorg/1.0 (wn.zyborg@looksmart.net; http://www.lolyousuck.com)"
64.131.205.178 - - [19/Nov/2008:22:16:17 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; ODI3 Navigator)"
82.238.118.199 - - [19/Nov/2008:22:16:17 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Q312461)"
64.131.205.178 - - [19/Nov/2008:22:16:17 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.2; en-US; rv:1.5a) Gecko/20030728 Mozilla Firebird/0.6.1"
64.131.205.178 - - [19/Nov/2008:22:16:17 +0200] "GET / HTTP/1.0" 200 24008 "-" "Microsoft-WebDAV-MiniRedir/5.1.2600"
71.238.125.104 - - [19/Nov/2008:22:16:17 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.2; en-US; rv:1.5a) Gecko/20030728 Mozilla Firebird/0.6.1"
76.118.130.88 - - [19/Nov/2008:22:16:17 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Avast Browser [avastye.com]; .NET CLR 1.1.4322)"
82.238.118.199 - - [19/Nov/2008:22:16:17 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.2; en-US; rv:1.5a) Gecko/20030728 Mozilla Firebird/0.6.1"
64.131.205.178 - - [19/Nov/2008:22:16:17 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/5.0 (Slurp/si; slurp@inktomi.com; http://www.inktomi.com/slurp.html)"
82.238.118.199 - - [19/Nov/2008:22:16:17 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 1.0.3705)"
71.238.125.104 - - [19/Nov/2008:22:16:17 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 5.0; Windows 98; DigExt)"
64.131.205.178 - - [19/Nov/2008:22:16:18 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.0.3705; .NET CLR 1.1.4322)"
76.118.130.88 - - [19/Nov/2008:22:16:18 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.75 [en]"
203.160.1.50 - - [19/Nov/2008:22:16:18 +0200] "GET / HTTP/1.0" 304 - "-" "Mozilla/5.0 (Slurp/cat; vaginamook@inktomi.com; http://www.supercocklol.com/slurp.html)"
+ сейчас отключил работу PHP, Cgi-bin, SSI, но все равно лог продолжает писать без изменений. Изменения трафика не могу просмотреть, т.к. он обновляется один раз ночью.

Отправлено: 23:36, 19-11-2008

 

Старожил


Сообщения: 214
Благодарности: 53

Профиль | Отправить PM | Цитировать


Цитата noleiemit:
64.131.205.178 - - [19/Nov/2008:22:16:10 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98; Win 9x 4.90; H010818; AT&T CSM6.0)" »
Вообще-то обычный лог веб-сервера
64.131.205.178 - IP с которого было подключение
[19/Nov/2008:22:16:10 +0200] - дата, время, сдвиг от Гринвича (+2 часа)
"GET / HTTP/1.0" - запрос браузера, протокол.
200 24008 " - ответ сервера (все нормально, OK)
И данные о браузере, ОС и т.п. Здесь настораживает, что по одному и тому же IP клиента выдается разная информация, и уж точно один из них не бот Google.

Отсюда больше ничего не определишь. Единственно, что смущает - интенсивность запросов и IP клиентов. География тоже - Францмя, Вьетнам, странно. По идее они должны быть из России ?
Нужно анализировать трафик, а это всего лишь лог веб-сервера.
Цитата noleiemit:
На ftp только в одном аккаунте лежит rar архив на 110 метров, »
- так может быть его и качают ?

-------
Переустановка Windows - как разморозка холодильника. Помогает, но ненадолго...


Последний раз редактировалось ab57, 20-11-2008 в 13:22.

Это сообщение посчитали полезным следующие участники:

Отправлено: 12:32, 20-11-2008 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Новый участник


Сообщения: 46
Благодарности: 0

Профиль | Отправить PM | Цитировать


Цитата:
Вообще-то обычный лог веб-сервера
Чем может быть вызван такой лог? До создания и раздачи ftp-аккаунтов был скромный лог, буквально 20-30 строк.
По нём видны ссылки файлов, которые качают
Цитата:
так может быть его и качают ?
сейчас изменил путь к папке, где лежат файлы - лог продолжает писать без изменений.

Цитата:
Отсюда больше ничего не определишь. Единственно, что смущает - интенсивность запросов и IP клиентов. География тоже - Францмя, Вьетнам, странно. По идее они должны быть из России ?
Из России, и притом с одного IP.

Ещё странно:
1)что в логе только один браузер Mozilla от4.0 до 5.0 версии
нет ни Оперы, ни других браузеров.
2)сейчас в логе только один IP 82.238.118.199, больше никаких IP нет

Цитата:
82.238.118.199 - - [20/Nov/2008:20:02:37 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
82.238.118.199 - - [20/Nov/2008:20:02:37 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Hotbar 4.3.1.0)"
82.238.118.199 - - [20/Nov/2008:20:02:37 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.2; en-US; rv:1.5a) Gecko/20030728 Mozilla Firebird/0.6.1"
82.238.118.199 - - [20/Nov/2008:20:02:38 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.0.3705; .NET CLR 1.1.4322)"
82.238.118.199 - - [20/Nov/2008:20:02:39 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Avast Browser [avastye.com]; .NET CLR 1.1.4322)"
82.238.118.199 - - [20/Nov/2008:20:02:40 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Q312461)"
82.238.118.199 - - [20/Nov/2008:20:02:41 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98; Win 9x 4.90; H010818; AT&T CSM6.0)"
82.238.118.199 - - [20/Nov/2008:20:02:41 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 compatible ZyBorg/1.0 (wn.zyborg@looksmart.net; http://www.lolyousuck.com)"
82.238.118.199 - - [20/Nov/2008:20:02:41 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 1.0.3705)"
82.238.118.199 - - [20/Nov/2008:20:02:41 +0200] "GET / HTTP/1.0" 200 24008 "-" "Lynx/2.8.4rel.1 libwww-FM/2.14 SSL-MM/1.4.1 GNUTLS/0.8.6"
82.238.118.199 - - [20/Nov/2008:20:02:42 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
82.238.118.199 - - [20/Nov/2008:20:02:42 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Hotbar 4.3.1.0)"
82.238.118.199 - - [20/Nov/2008:20:02:43 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.2; en-US; rv:1.5a) Gecko/20030728 Mozilla Firebird/0.6.1"
82.238.118.199 - - [20/Nov/2008:20:02:44 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.0.3705; .NET CLR 1.1.4322)"
82.238.118.199 - - [20/Nov/2008:20:02:45 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Avast Browser [avastye.com]; .NET CLR 1.1.4322)"
82.238.118.199 - - [20/Nov/2008:20:02:45 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Q312461)"
82.238.118.199 - - [20/Nov/2008:20:02:46 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 compatible ZyBorg/1.0 (wn.zyborg@looksmart.net; http://www.lolyousuck.com)"
82.238.118.199 - - [20/Nov/2008:20:02:46 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98; Win 9x 4.90; H010818; AT&T CSM6.0)"
82.238.118.199 - - [20/Nov/2008:20:02:47 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 1.0.3705)"
82.238.118.199 - - [20/Nov/2008:20:02:48 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Hotbar 4.3.1.0)"
82.238.118.199 - - [20/Nov/2008:20:02:49 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.0.3705; .NET CLR 1.1.4322)"
82.238.118.199 - - [20/Nov/2008:20:02:49 +0200] "GET / HTTP/1.0" 200 24008 "-" "Lynx/2.8.4rel.1 libwww-FM/2.14 SSL-MM/1.4.1 GNUTLS/0.8.6"
82.238.118.199 - - [20/Nov/2008:20:02:49 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
82.238.118.199 - - [20/Nov/2008:20:02:49 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.2; en-US; rv:1.5a) Gecko/20030728 Mozilla Firebird/0.6.1"
82.238.118.199 - - [20/Nov/2008:20:02:50 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Q312461)"
82.238.118.199 - - [20/Nov/2008:20:02:51 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 compatible ZyBorg/1.0 (wn.zyborg@looksmart.net; http://www.lolyousuck.com)"
82.238.118.199 - - [20/Nov/2008:20:02:51 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98; Win 9x 4.90; H010818; AT&T CSM6.0)"
82.238.118.199 - - [20/Nov/2008:20:02:53 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Avast Browser [avastye.com]; .NET CLR 1.1.4322)"
82.238.118.199 - - [20/Nov/2008:20:02:53 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Hotbar 4.3.1.0)"
82.238.118.199 - - [20/Nov/2008:20:02:53 +0200] "GET / HTTP/1.0" 200 24008 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.0.3705; .NET CLR 1.1.4322)"


По данным whois, сразу бросается PROXAD.

Кто знает что это такое?



Цитата:
inetnum: 82.238.116.0 - 82.238.119.255
netname: FR-PROXAD-ADSL
descr: Proxad / Free SAS
descr: Static pool (Freebox)
descr: stg25-1 (montbeliard)
descr: NCC#2005090519
country: FR
admin-c: ACP23-RIPE
tech-c: TCP8-RIPE
status: ASSIGNED PA
remarks: Spam/Abuse requests: mailto:abuse@proxad.net
mnt-by: PROXAD-MNT
source: RIPE # Filtered

role: Administrative Contact for ProXad
address: Free SAS / ProXad
address: 8, rue de la Ville L'Eveque
address: 75008 Paris
phone: +33 1 73 50 20 00
fax-no: +33 1 73 92 25 69
remarks: trouble: Information: http://www.proxad.net/
remarks: trouble: Spam/Abuse requests: mailto:abuse@proxad.net
admin-c: RA999-RIPE
tech-c: FG4214-RIPE
nic-hdl: ACP23-RIPE
mnt-by: PROXAD-MNT
source: RIPE # Filtered
abuse-mailbox: abuse@proxad.net

role: Technical Contact for ProXad
address: Free SAS / ProXad
address: 8, rue de la Ville L'Eveque
address: 75008 Paris
phone: +33 1 73 50 20 00
fax-no: +33 1 73 92 25 69
remarks: trouble: Information: http://www.proxad.net/
remarks: trouble: Spam/Abuse requests: mailto:abuse@proxad.net
admin-c: RA999-RIPE
tech-c: FG4214-RIPE
nic-hdl: TCP8-RIPE
mnt-by: PROXAD-MNT
source: RIPE # Filtered
abuse-mailbox: abuse@proxad.net

% Information related to '82.224.0.0/11AS12322'

route: 82.224.0.0/11
descr: ProXad network / Free SAS
descr: Paris, France
origin: AS12322
mnt-by: PROXAD-MNT
source: RIPE # Filtered

При переходе на proxad.net долго-догло переадресовывает на какуе-то англоязычную страницу с услугами ADSL и потребляет около 1.5 метров трафика. Второй и последующие разы мой браузер (Опера) выдает ошибку.

Последний раз редактировалось noleiemit, 20-11-2008 в 22:15. Причина: дополнение


Отправлено: 18:54, 20-11-2008 | #3


Аватара для Negativ

Ветеран


Сообщения: 1051
Благодарности: 42

Профиль | Отправить PM | Цитировать


noleiemit,
я бы забанил всю эту сетку нафик на шлюзе.

-------
В некоторые головы мысли приходят умирать

Это сообщение посчитали полезным следующие участники:

Отправлено: 22:36, 20-11-2008 | #4


Новый участник


Сообщения: 46
Благодарности: 0

Профиль | Отправить PM | Цитировать


Negativ, это один IP, а вчера были различные сети IP из разных стран...всех вылавливать и банить...не реально

Вот свежий лог:

Цитата:
82.238.118.199 - - [20/Nov/2008:21:48:14 +0200] "GET / HTTP/1.0" 200 64 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Avast Browser [avastye.com]; .NET CLR 1.1.4322)"
82.238.118.199 - - [20/Nov/2008:21:48:14 +0200] "GET / HTTP/1.0" 200 64 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.0.3705; .NET CLR 1.1.4322)"
82.238.118.199 - - [20/Nov/2008:21:48:15 +0200] "GET / HTTP/1.0" 200 64 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 1.0.3705)"
82.238.118.199 - - [20/Nov/2008:21:48:15 +0200] "GET / HTTP/1.0" 200 64 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98; Win 9x 4.90; H010818; AT&T CSM6.0)"
82.238.118.199 - - [20/Nov/2008:21:48:16 +0200] "GET / HTTP/1.0" 200 64 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Q312461)"
82.238.118.199 - - [20/Nov/2008:21:48:16 +0200] "GET / HTTP/1.0" 200 64 "-" "Lynx/2.8.4rel.1 libwww-FM/2.14 SSL-MM/1.4.1 GNUTLS/0.8.6"
82.238.118.199 - - [20/Nov/2008:21:48:17 +0200] "GET / HTTP/1.0" 200 64 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
93.85.57.10 - - [20/Nov/2008:21:48:17 +0200] "GET /index.php HTTP/1.0" 200 157 "http://anli***.net.ru/" "Opera/9.61 (Windows NT 5.1; U; ru) Presto/2.1.1"
93.85.57.10 - - [20/Nov/2008:21:48:18 +0200] "GET /favicon.ico HTTP/1.0" 404 280 "http://anli***.net.ru/index.php" "Opera/9.61 (Windows NT 5.1; U; ru) Presto/2.1.1"
82.238.118.199 - - [20/Nov/2008:21:48:18 +0200] "GET / HTTP/1.0" 200 64 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; Hotbar 4.3.1.0)"
82.238.118.199 - - [20/Nov/2008:21:48:18 +0200] "GET / HTTP/1.0" 200 64 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.2; en-US; rv:1.5a) Gecko/20030728 Mozilla Firebird/0.6.1"
чем отличается лог IP 93.85.57.10 и IP 82.238.118.199?
Ну, IP 93.85.57.10 понятно, что заходил на http://anli***.net.ru/
А вот IP 82.238.118.199 не поймешь, куда заходил? и что делал?

Отправлено: 23:09, 20-11-2008 | #5


Старожил


Сообщения: 214
Благодарности: 53

Профиль | Отправить PM | Цитировать


Цитата noleiemit:
А вот IP 82.238.118.199 не поймешь, куда заходил? и что делал? »
"GET / HTTP/1.0" в логе вебсервера получается, если в браузере набрать http://вашсервер
Если какая-либо страничка ("GET /index.php HTTP/1.0") - http://вашсервер/index.php
С IP 82.238.118.199 каждую секунду (даже чаще) выполняется подключение http://вашсервер.
Это хост stg25-1-82-238-118-199.fbx.proxad.net, возможно завирусенный/взломанный комп. Не исключено, что раньше (старый лог) был взломан (или частично взломан) и ваш сервер. Возможно
он использовался или его пытались использовать для заражения других компов.
А возможно он уже работает спам-ботом, например, Шлет рекламу виагры бедным юзерам. Или используется как SOCKS-прокси для своры ботов. А может быть и нет взлома, а неудачно завирусенные компы лезут к вам по ошибке настройки вируса.
Лог веб-сервера вам даст только информацию о запросах по HTTP. Да, лог настораживает, но что конкретно творится на сервере из него определить невозможно. Лучше всего - анализатор трафика.
Я так понял, у вас виртуальный хостинг? Unix/Linux ? Apache ? Есть ли возможность получить рутовый shell ? Есть ли возможность посмотреть трафик от вашего сервера ? или хотя бы netstat ?
Какие службы и логи доступны для вас ?
Ну, а если продолжать предположения, мне кажется было так - когда вы дали FTP-доступ пользователям, у кого-то из них произошла утечка учетных данных. Юзеры любят сохранять пароли в ftp-клиентах, а вирусы любят их воровать. После чего по ftp была залита какая-то гадость, доступ к которой выполнялся (или продолжает выполняться) по HTTP.

-------
Переустановка Windows - как разморозка холодильника. Помогает, но ненадолго...


Последний раз редактировалось ab57, 21-11-2008 в 10:00.

Это сообщение посчитали полезным следующие участники:

Отправлено: 09:41, 21-11-2008 | #6


Новый участник


Сообщения: 46
Благодарности: 0

Профиль | Отправить PM | Цитировать


Цитата ab57:
Я так понял, у вас виртуальный хостинг? Unix/Linux ? Apache ? Есть ли возможность получить рутовый shell ? Есть ли возможность посмотреть трафик от вашего сервера ? или хотя бы netstat ?
Какие службы и логи доступны для вас ? »
Да, у меня обычный виртуальный хостинг Linux, php как модуль Apache
А вот просмотреть рутовый shell, просмотреть трафик от вашего сервера, netstat скорее всего не возможно...хотя я плохо знаком с хостингом (он мне нужен только для фтп). У меня панель управления ISPmanager, в ней ничего похожего не видел.

Цитата ab57:
После чего по ftp была залита какая-то гадость, доступ к которой выполнялся (или продолжает выполняться) по HTTP. »
Где мне эту гадость искать? если в папках на фтп, кроме мультимедионных файлов ничего нет, там лежит музыка, видео архивы по 100 метров, самому страрому файлу около 8 часов.

В последнее время, как в логе появился только IP 82.238.118.199, трафика стало израсходываться меньше, на уровне обычного.

Как мне заблокировать IP 82.238.118.199 для моего хоста? Это возможно сделать через панель управления ISPmanager?

Если я заблокирую доступ к сайту с IP 82.238.118.199, то он все равно будет ссылаться на сайт, просто не будет видеть содержания, а увидит только надпись "Для вашего IP 82.238.118.199 доступ закрыт"

Отправлено: 15:55, 21-11-2008 | #7


Старожил


Сообщения: 214
Благодарности: 53

Профиль | Отправить PM | Цитировать


Цитата noleiemit:
Где мне эту гадость искать? »
Судя по той части лога, что выкладывалась здесь, обращение шло к корню веб-сервера, поэтому искать нужно там (файлы главной страницы - index.php index.htm, index.html...)
Но, наверно уже поздно.
По последнему логу, похоже, что в корне веб-сервера пусто (сервер отправил 64 байта), наверно вирусняк был удален антивирусом вашего хостингера.
Цитата noleiemit:
Как мне заблокировать IP 82.238.118.199 для моего хоста? »
К сожалению ISPmanager для меня - китайская грамота, никогда не видел и понятия не имею, как им пользоваться. Наверно, какая-то возможность блокировки в нем предусмотрена, может кто из форумчан подскажет.
Ну, а касаемо IP 82.238.118.199 сейчас от него единственная неприятность - лишний, хоть и небольшой трафик, наверно мегов 20 в сутки ? Если трафик не волнует, можно на это дело не обращать внимания, скорее всего - это жертва, а не враг. Рано или поздно хозяин, (админ) или обновившийся антивирус исправят ситуацию.
Я бы, на вашем месте, сменил все пароли.
А вообще-то, я чуть позже отправлю вам личное сообщение, посмотрим, что еще можно сделать.

-------
Переустановка Windows - как разморозка холодильника. Помогает, но ненадолго...

Это сообщение посчитали полезным следующие участники:

Отправлено: 20:03, 21-11-2008 | #8


Новый участник


Сообщения: 46
Благодарности: 0

Профиль | Отправить PM | Цитировать


Прошло некоторое время. Узнал все-таки что это было.
Какой-то плохой человек заказал на мой ресурс дос-аттаку, которая длилась не долго.
А насчет IP 82.238.118.199. Попросил у хостера забанить этот IP.
На всякий случай поменял все пароли для ftp. Сейчас проблем нет. Спасибо всем, кто помогал!

Отправлено: 21:03, 01-12-2008 | #9



Компьютерный форум OSzone.net » Компьютеры + Интернет » Хочу все знать » [решено] Помогите расшифровать лог, вроде взломали хостинг по ftp

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Помогите расшифровать =) Гарин Флейм 1 07-09-2009 01:52
FreeBSD - Помогите срочно, кажется взломали ситему плиз nomadkz Общий по FreeBSD 1 26-08-2009 15:49
помогите расшифровать *.ldf Pit_bul Microsoft Windows NT/2000/2003 1 29-06-2009 15:19
Очень длинная ошибка в EventLog Exchange Server'a. Не могу расшифровать. Помогите! ANR Microsoft Exchange Server 15 07-07-2008 16:13
Бесплатный хостинг на FTP ASE DAG Вебмастеру 4 25-02-2006 01:41




 
Переход