LINUX.ORG.RU

хакнули апач?


0

3

заметил торможение веба на сервере centos 5.6 в логах httpd куча левых post/get запросов

212.251.221.246 - - [30/Aug/2011:13:54:33 +0100] "GET http://x3.chatforyoursite.com/subscribe/5f0efa7a-182b-11e0-ace6-4fa1527e14af/5840a6a1258aad586a8a62452f2c70bf
60.28.228.40 - - [30/Aug/2011:13:54:33 +0100] "GET http://cs.ganji.com/fang2/11082820_18174.htm HTTP/1.0" 500 611
218.232.165.29 - - [30/Aug/2011:13:54:33 +0100] "GET http://blog.naver.com/sjh3675/140135134097 HTTP/1.1" 500 613
78.26.179.22 - - [30/Aug/2011:13:54:33 +0100] "GET http://images.google.com/ HTTP/1.1" 500 616
98.93.20.157 - - [30/Aug/2011:13:54:33 +0100] "CONNECT 24.215.175.222:6881 HTTP/1.0" 500 615
98.93.20.157 - - [30/Aug/2011:13:54:33 +0100] "CONNECT 75.85.174.43:58687 HTTP/1.0" 500 614
180.178.56.234 - - [30/Aug/2011:13:54:33 +0100] "GET http://relsh.com/ HTTP/1.1" 500 608
95.133.42.1 - - [30/Aug/2011:13:54:33 +0100] "POST http://s7.mlgame.ru/messagebroker/myamflongpoll HTTP/1.0" 500 611
112.65.247.42 - - [30/Aug/2011:13:54:33 +0100] "GET http://debates06.proboards.com/index.cgi?action=register HTTP/1.0" 500 622
116.255.174.165 - - [30/Aug/2011:13:54:33 +0100] "GET http://www.thinkactwin.org/dys/ HTTP/1.1" 500 618
77.253.3.212 - - [30/Aug/2011:13:54:33 +0100] "GET http://us.yhs4.search.yahoo.com HTTP/1.1" 500 623
212.251.221.246 - - [30/Aug/2011:13:54:33 +0100] "GET http://x3.chatforyoursite.com/subscribe/5f0efa7a-182b-11e0-ace6-4fa1527e14af/5840a6a1258aad586a8a62452f2c70bf
95.133.42.1 - - [30/Aug/2011:13:54:34 +0100] "POST http://s7.mlgame.ru/messagebroker/myamflongpoll HTTP/1.0" 500 611
95.129.239.16 - - [30/Aug/2011:13:54:34 +0100] "POST http://wap.mheart.ru/?area=login HTTP/1.1" 500 612
221.123.164.138 - - [30/Aug/2011:13:54:34 +0100] "GET http://product.it168.com/detail/doc/458163/index.shtml HTTP/1.0" 500 616
218.240.38.43 - - [30/Aug/2011:13:54:34 +0100] "POST http://mobds.ganji.com/DataSharing.aspx?accessMode=wifi&activity=1&width=320&upgradeMode=1 HTTP/1.1" 500 614
184.95.47.170 - - [30/Aug/2011:13:54:34 +0100] "GET http://lookup1.avatar.vip.mud.yahoo.com/wimages?yid=brianacharlie@snet.net&size=medium&type=png&ts=6000&sig=XXX
211.103.128.34 - - [30/Aug/2011:13:54:34 +0100] "GET http://ip138.com/ip2city.asp HTTP/1.1" 500 608
60.209.205.34 - - [30/Aug/2011:13:54:34 +0100] "GET http://www.teendre.com/forumdisplay.php?fid=3 HTTP/1.1" 500 614
212.251.221.246 - - [30/Aug/2011:13:54:34 +0100] "GET http://x3.chatforyoursite.com/subscribe/5f0efa7a-182b-11e0-ace6-4fa1527e14af/5840a6a1258aad586a8a62452f2c70bf
114.79.35.232 - - [30/Aug/2011:13:54:33 +0100] "GET http://www.baidu.com/ HTTP/1.1" 500 612
67.215.246.226 - - [30/Aug/2011:13:54:34 +0100] "GET http://www.eastturkistan.net/chinese/ HTTP/1.1" 500 620
95.129.239.16 - - [30/Aug/2011:13:54:34 +0100] "POST http://wap.mheart.ru/?area=login HTTP/1.1" 500 612
98.93.20.157 - - [30/Aug/2011:13:54:34 +0100] "CONNECT 90.206.163.32:10760 HTTP/1.0" 500 615
98.93.20.157 - - [30/Aug/2011:13:54:34 +0100] "CONNECT 2.10.75.171:44424 HTTP/1.0" 500 613
199.87.232.66 - - [30/Aug/2011:13:54:34 +0100] "CONNECT tw.edit.yahoo.com:443 HTTP/1.1" 500 617


поставил апачу не 80й порт - спам прекратился
чё это может быть?

Да, тебя хакнули. Будь аккуратен и не стой рядом с сервером, скоро он тоже взорвётся. Если сервер на территории чьего-либо датацентра, то позвони и оповести.

VirRaa ★★★
()

Нет, тебя не хакнули, просто заваливают невалидными запросами. Апач на них выдаёт еррор 500. То есть доступа никуда он конечно не даёт, но ЕМНИП на подобные запросы он должен выдавать 404. Может что-то с конфигом не так?

Deleted
()
Ответ на: комментарий от Deleted

Вообще лучше запустить снифер и посмотреть на полный дамп какого-нибудь запроса. Может станет понятно отчего он отвечает 500, а не 404...

Deleted
()
Ответ на: комментарий от animhotep

подскажите, как лучше отрубить запросы? допустим отсекать все пакеты в которых есть post/get http://*

animhotep
() автор топика

CONNECT ммм
твой сервер используют как прокси или пытаются использовать?

anonymous
()

поставь нжыныкс (фронтэндом как минимум)

anonymous
()

Нет, просто наткнулись на IP-адрес и ищут прокси-сервер.

Потом они могут начать искать уязвимые сервисы, например:
68.169.43.232 80.240.209.133 - [30/Aug/2011:18:11:00 +0400] «GET /web/phpmyadmin/scripts/setup.php HTTP/1.1» 401 351 "-" «ZmEu»
68.169.43.232 80.240.209.133 - [30/Aug/2011:18:11:01 +0400] «GET /web/phpMyAdmin/scripts/setup.php HTTP/1.1» 401 351 "-" «ZmEu»
68.169.43.232 80.240.209.133 - [30/Aug/2011:18:11:02 +0400] «GET /web/scripts/setup.php HTTP/1.1» 401 351 "-" «ZmEu»
68.169.43.232 80.240.209.133 - [30/Aug/2011:18:11:02 +0400] «GET /websql/scripts/setup.php HTTP/1.1» 401 351 "-" «ZmEu»
68.169.43.232 80.240.209.133 - [30/Aug/2011:18:11:03 +0400] «GET /wp-content/plugins/wp-phpmyadmin/wp-phpmyadmin/phpmyadmin/scripts/setup.php HTTP/1.1» 401 351 "-" «ZmEu»
68.169.43.232 80.240.209.133 - [30/Aug/2011:18:11:03 +0400] «GET /wp-phpmyadmin/phpmyadmin/scripts/setup.php HTTP/1.1» 401 351 "-" «ZmEu»
68.169.43.232 80.240.209.133 - [30/Aug/2011:18:11:04 +0400] «GET /wp-phpmyadmin/scripts/setup.php HTTP/1.1» 401 351 "-" «ZmEu»
68.169.43.232 80.240.209.133 - [30/Aug/2011:18:11:04 +0400] «GET /xampp/phpmyadmin/scripts/setup.php HTTP/1.1» 401 351 "-" «ZmEu»

AITap ★★★★★
()
Ответ на: комментарий от AITap

[quote]поставь нжыныкс (фронтэндом как минимум) anonymous (30.08.2011 17:47:30[/quote] поставил, нагрузка вроде снизилась, но запросы всё равно на апачь передаются...

[b]AITap[/b]я так понимаю сталкивались с таким? сколько такие попытки продолжались?

animhotep
() автор топика
Ответ на: комментарий от animhotep

> я так понимаю сталкивались с таким? сколько такие попытки продолжались?
Да постоянно продолжаются. Поскольку ни одного из этих уязвимых сервисов у меня нет (да и вообще защищено паролем), поводов паниковать не вижу. В крайнем случае можно извратиться и настроить fail2ban на блокировку за слишком частые запросы с результатом 401.

AITap ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.