Форум Сайтостроение Администрирование серверов

Очень странные запросы на сервер

D
На сайте с 20.07.2011
Offline
38
dblokhin
1431

Здравствуйте.

Есть сервер под управлением CentOS 6 (ядро 2.6.32-131.17.1.el6.x86_64 #1 SMP).

На сервере поднята классическая связка nginx+apache, которая обслуживает 1 сайт.

nginx version: nginx/1.0.11

httpd version: 2.2.15 

php -v

PHP 5.3.10 (cli) (built: Feb  3 2012 18:46:27) 

Copyright (c) 1997-2012 The PHP Group

Zend Engine v2.3.0, Copyright (c) 1998-2012 Zend Technologies

    with eAccelerator v0.9.6.1, Copyright (c) 2004-2010 eAccelerator, by eAccelerato

В последнее время пошли очень странные логи: то идет попытка найти phpMyAdmin, то запущена проверка на определение CMS сайта, и так далее. Есть вероятность, что сервер пытаются взломать.

Вот пример "странных" запросов (имя сервера, ip-адреса изменены). Что это может быть? 


[21/Apr/2012:12:23:18 +0400] X.X.X.X server.ru "GET /adds/+%5BPLM=0%5D%5BN%5D+GET+http://server.ru/adds/+%5B0,6147,3246%5D+-%3E+%5BN%5D+POST+http://server.ru/adds/+%5B0

,0,14561%5D+-%3E+%5BN%5D+GET+http://server.ru/adds/+%5B0,0,13413%5D+-%3E+%5BN%5D+GET+http://server.ru/adds/+%5B0,0,13413%5D+-%3E+%5BN%5D+GET+http://server.ru/adds/+%5B0,0,134

13%5D+-%3E+%5BN%5D+GET+http://server.ru/adds//articles/+%5B3538,0,13413%5D HTTP/1.0" 200 "http://server.ru/adds/+%5BPLM=0%5D%5BN%5D+GET+http://server.ru/adds/+%5B0,6147,3246%5D+

-%3E+%5BN%5D+POST+http://server.ru/adds/+%5B0,0,14561%5D+-%3E+%5BN%5D+GET+http://server.ru/adds/+%5B0,0,13413%5D+-%3E+%5BN%5D+GET+http://server.ru/adds/+%5B0,0,13413%5D+-%3E+

%5BN%5D+GET+http://server.ru/adds/+%5B0,0,13413%5D+-%3E+%5BN%5D+GET+http://server.ru/adds//articles/+%5B3538,0,13413%5D"

[21/Apr/2012:12:23:20 +0400] X.X.X.X server.ru "GET /captcha.php?hash=68791 HTTP/1.0" 200 "http://server.ru/adds/+%5BPLM=0%5D%5BN%5D+GET+http://server.ru/adds/+%5B0,61

47,3246%5D+-%3E+%5BN%5D+POST+http://server.ru/adds/+%5B0,0,14561%5D+-%3E+%5BN%5D+GET+http://server.ru/adds/+%5B0,0,13413%5D+-%3E+%5BN%5D+GET+http://server.ru/adds/+%5B0,0,134

13%5D+-%3E+%5BN%5D+GET+http://server.ru/adds/+%5B0,0,13413%5D+-%3E+%5BN%5D+GET+http://server.ru/adds//articles/+%5B3538,0,13413%5D"

[21/Apr/2012:12:23:23 +0400] X.X.X.X server.ru "POST /adds/ HTTP/1.0" 200 "http://server.ru/adds/+%5BPLM=0%5D%5BN%5D+GET+http://server.ru/adds/+%5B0,6147,3246%5D+-%3E+%5BN%5D+POST+http://server.ru/adds/+%5B0,0,14561%5D+-%3E+%5BN%5D+GET+http://server.ru/adds/+%5B0,0,13413%5D+-%3E+%5BN%5D+GET+http://server.ru/adds/+%5B0,0,13413%5D+-%3E+%5BN%5D+GET+http://server.ru/adds/+%5B0,0,13413%5D+-%3E+%5BN%5D+GET+http://server.ru/adds//articles/+%5B3538,0,13413%5D"

[21/Apr/2012:12:26:12 +0400] X.X.X.X server.ru "GET /adds/+%5BPLM=0%5D%5BN%5D+GET+http://server.ru/adds/+%5B0,6147,3246%5D+-%3E+%5BN%5D+POST+http://server.ru/adds/+%5B0,0,14561%5D+-%3E+%5BN%5D+GET+http://server.ru/adds/+%5B0,0,13413%5D+-%3E+%5BN%5D+GET+http://server.ru/adds/+%5B0,0,13413%5D+-%3E+%5BN%5D+GET+http://server.ru/adds/+%5B0,0,13413%5D+-%3E+%5BN%5D+GET+http://server.ru/adds//articles/+%5B3538,0,13413%5D HTTP/1.0" 200 "http://server.ru/adds/+%5BPLM=0%5D%5BN%5D+GET+http://server.ru/adds/+%5B0,6147,3246%5D+-%3E+%5BN%5D+POST+http://server.ru/adds/+%5B0,0,14561%5D+-%3E+%5BN%5D+GET+http://server.ru/adds/+%5B0,0,13413%5D+-%3E+%5BN%5D+GET+http://server.ru/adds/+%5B0,0,13413%5D+-%3E+%5BN%5D+GET+http://server.ru/adds/+%5B0,0,13413%5D+-%3E+%5BN%5D+GET+http://server.ru/adds//articles/+%5B3538,0,13413%5D"

[21/Apr/2012:12:26:15 +0400] X.X.X.X server.ru "GET /captcha.php?hash=35247 HTTP/1.0" 200 "http://server.ru/adds/+%5BPLM=0%5D%5BN%5D+GET+http://server.ru/adds/+%5B0,6147,3246%5D+-%3E+%5BN%5D+POST+http://server.ru/adds/+%5B0,0,14561%5D+-%3E+%5BN%5D+GET+http://server.ru/adds/+%5B0,0,13413%5D+-%3E+%5BN%5D+GET+http://server.ru/adds/+%5B0,0,13413%5D+-%3E+%5BN%5D+GET+http://server.ru/adds/+%5B0,0,13413%5D+-%3E+%5BN%5D+GET+http://server.ru/adds//articles/+%5B3538,0,13413%5D"

[21/Apr/2012:12:26:16 +0400] X.X.X.X server.ru "POST /adds/ HTTP/1.0" 200 "http://server.ru/adds/+%5BPLM=0%5D%5BN%5D+GET+http://server.ru/adds/+%5B0,6147,3246%5D+-%3E+%5BN%5D+POST+http://server.ru/adds/+%5B0,0,14561%5D+-%3E+%5BN%5D+GET+http://server.ru/adds/+%5B0,0,13413%5D+-%3E+%5BN%5D+GET+http://server.ru/adds/+%5B0,0,13413%5D+-%3E+%5BN%5D+GET+http://server.ru/adds/+%5B0,0,13413%5D+-%3E+%5BN%5D+GET+http://server.ru/adds//articles/+%5B3538,0,13413%5D"



...........



[21/Apr/2012:13:15:39 +0400] X.X.X.X server.ru "GET /adds/+%5BPLM=0%5D%5BN%5D+GET+http://server.ru/adds/+%5B0,6147,3246%5D+-%3E+%5BN%5D+POST+http://server.ru/adds/+%5B0,0,14561%5D+-%3E+%5BN%5D+GET+http://server.ru/adds/+%5B0,0,13413%5D+-%3E+%5BN%5D+GET+http://server.ru/adds/+%5B0,0,13413%5D+-%3E+%5BN%5D+GET+http://server.ru/adds/+%5B0,0,13413%5D+-%3E+%5BN%5D+GET+http://server.ru/adds//articles/+%5B3538,0,13413%5D HTTP/1.0" 200 "http://server.ru/adds/+%5BPLM=0%5D%5BN%5D+GET+http://server.ru/adds/+%5B0,6147,3246%5D+-%3E+%5BN%5D+POST+http://server.ru/adds/+%5B0,0,14561%5D+-%3E+%5BN%5D+GET+http://server.ru/adds/+%5B0,0,13413%5D+-%3E+%5BN%5D+GET+http://server.ru/adds/+%5B0,0,13413%5D+-%3E+%5BN%5D+GET+http://server.ru/adds/+%5B0,0,13413%5D+-%3E+%5BN%5D+GET+http://server.ru/adds//articles/+%5B3538,0,13413%5D"

[21/Apr/2012:13:15:40 +0400] X.X.X.X server.ru "GET /captcha.php?hash=761 HTTP/1.0" 200 "http://server.ru/adds/+%5BPLM=0%5D%5BN%5D+GET+http://server.ru/adds/+%5B0,6147,3246%5D+-%3E+%5BN%5D+POST+http://server.ru/adds/+%5B0,0,14561%5D+-%3E+%5BN%5D+GET+http://server.ru/adds/+%5B0,0,13413%5D+-%3E+%5BN%5D+GET+http://server.ru/adds/+%5B0,0,13413%5D+-%3E+%5BN%5D+GET+http://server.ru/adds/+%5B0,0,13413%5D+-%3E+%5BN%5D+GET+http://server.ru/adds//articles/+%5B3538,0,13413%5D"

[21/Apr/2012:13:15:43 +0400] X.X.X.X server.ru "POST /adds/ HTTP/1.0" 200 "http://server.ru/adds/+%5BPLM=0%5D%5BN%5D+GET+http://server.ru/adds/+%5B0,6147,3246%5D+-%3E+%5BN%5D+POST+http://server.ru/adds/+%5B0,0,14561%5D+-%3E+%5BN%5D+GET+http://server.ru/adds/+%5B0,0,13413%5D+-%3E+%5BN%5D+GET+http://server.ru/adds/+%5B0,0,13413%5D+-%3E+%5BN%5D+GET+http://server.ru/adds/+%5B0,0,13413%5D+-%3E+%5BN%5D+GET+http://server.ru/adds//articles/+%5B3538,0,13413%5D"

Может быть это работа какого-то "приватного" exploit'a? Прошу помощи и советов по профилактике и противодействию.

Нямкин
На сайте с 02.12.2010
Offline
65
Нямкин
#1

Знакомый писал недавно, что на его домашнем сервере (джаббер-бот и еще по мелочам) в логах тоже часто обнаруживает попытки нащупать phpMyAdmin и прочие радости. При этом на сервере нет ни сайтов, ни php в принципе. Похоже, тупо скан подсетей с попыткой нащупать дырявые серваки.

Парсят или бот гугла? Помогите решить проблему с Ошибка File does not
R
На сайте с 13.04.2009
Offline
159
RRR Ivanov
#2

Сканеры просто ходят по сайтам, ничего страшного, если движов нет, которые они найти пытаются :)

pupseg
На сайте с 14.05.2010
Offline
364
pupseg
#3

ну и пусть рыщат. это роботы, которые эксплуатируют дырки в известных пхп скриптах. Если вы обновляете свой софт, у вас нормальный пароль на мускуль - то не стоит переживать. пусть дальше стучатся. если вас время от времени так сканируют - то не стоит переживать. если же на вас летит серьезный брутфорс (будет сильно похоже на ддос) - то уже нужно принимать меры.

часто еще может быть - подбор паролей к ssh- доступу. меры теже, получше пароль, а не 123qwe. В случае с ссш - если сильно раздражают записи в логах о попытках подбора паролей - то перевесьте ssh-демон на другой порт, отличный от 22. Особые параноики еще ставят парсилки-логов-банилки, ИМХО - это лишнее. опять же - если вас не вплотную брутфорсят, и если пароль нормальный (верхний, нижний регистр, цифры, спец-символы, длинной не меньше 8 символов), в противном случае - другие меры нужно принимать.

Качественная помощь в обслуживании серверов. (/ru/forum/661100) Бесплатных консультаций не даю, не помогаю, не обучаю. Минималка от 100$. Как пропатчить KDE-просьба не спрашивать. Есть форумы (http://linux.org.ru) и полезные сайты (http://www.opennet.ru/).
Выявлена возможная причина проблем «Играем в доктора»: неправильное Вышла новая версия CS
zexis
На сайте с 09.08.2005
Offline
388
zexis
#4

Нормальное явление. Боты, хакеры ищут уязвимости в ваших скриптах.

Лично у меня по крону парсятся раз в минуту последние строки лога и в них ищутся ключевые слова.

admin

mysql

etc/

select

union

../../..

passwd

Те кто их запрашивает идут в бан на сутки. Конечно в вашем движке не должно быть страниц с такими именами.

Это не параноя, а способ увидить активность хакеров.

вопрос... скорее к проггерам-админам. Правильно ли баню за Чем забанить бота? Надоел..
Andreyka
На сайте с 19.02.2005
Offline
822
Andreyka
#5

Открой для себя mod security

Не стоит плодить сущности без необходимости
M
На сайте с 16.09.2009
Offline
278
myhand
#6
zexis:
Это не параноя, а способ

... создать себе проблемы на ровном месте. Можно назвать *это* и покороче, но не хочу никого обижать ;)

Абонементное сопровождение серверов (Debian) Отправить личное сообщение (), написать письмо ().
DV
На сайте с 01.05.2010
Offline
644
DenisVS
#7

Слова можно и подлинее сделать :) А то попадётся в ЧПУ название.

Заметил, если ставить ограничение по количеству соединений netstat -np tcp, иногда попадаются добропорядочные граждане. Вот так вот с ходу открывают ссылку с Яндекса (обычно), и в бан. Сейчас предел 12 для одного клиента. Ума не приложу, как этого может не хватить.

VDS хостинг ( http://clck.ru/0u97l ) Нет нерешаемых задач ( https://searchengines.guru/ru/forum/806725 ) | Перенос сайтов на Drupal 7 с любых CMS. ( https://searchengines.guru/ru/forum/531842/page6#comment_10504844 )
YouTube меняет процедуру верификации Google тестирует упрощённую версию Новые возможности Google Drive
zexis
На сайте с 09.08.2005
Offline
388
zexis
#8
DenisVS:
Заметил, если ставить ограничение по количеству соединений netstat -np tcp, иногда попадаются добропорядочные граждане. Вот так вот с ходу открывают ссылку с Яндекса (обычно), и в бан. Сейчас предел 12 для одного клиента. Ума не приложу, как этого может не хватить.

На каждый тип соединения нужно ставить разные лимиты.

По моим наблюдениям иногда пользователи в состоянии ESTABLISHED могут иметь до 50 соединений с www сервером, а в состоянии FIN_WAIT2 или TIME_WAIT до 200.

Что бы не забанить таких активных пользователей бан за превышение коннектов нужно делать не все время, а лишь во время атаки. Наличие ддос атаки можно определить по суммарному количеству коннектов.

В Яндекс.Вебмастере появился новый Google: как определить, когда В Директе добавлена возможность
M
На сайте с 16.09.2009
Offline
278
myhand
#9
DenisVS:
Слова можно и подлинее сделать :) А то попадётся в ЧПУ название.

И это. И то, что сканер может жить-поживать на компьютере вполне добропорядочного посетителя сайта (подхватил зверушку любитель порнушки). И еще с десяток подобных проблем на ровном месте...

DenisVS:
Заметил, если ставить ограничение по количеству соединений netstat -np tcp, иногда попадаются добропорядочные граждане. Вот так вот с ходу открывают ссылку с Яндекса (обычно), и в бан. Сейчас предел 12 для одного клиента. Ума не приложу, как этого может не хватить.

Может keep-alive забыли включить?

zexis:
Что бы не забанить таких активных пользователей бан за превышение коннектов нужно делать не все время, а лишь во время атаки.

И што, во время атаки теперь не забаните? Или там у вас другие критерии - чем больше, тем лучше?

ihor.ru: VDS от 100 БД файлового хранилища подскажите Странности в Топ 100

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий