Форум Сайтостроение Безопасность

Непонятные запросы к еще не созданному сайту

V1
На сайте с 07.12.2012
Offline
68
vova1609
4990

Зарегистрировал домен, прикрепил к хостингу и закрыл доступ в .htaccess. Сайта нет, при переходе 403 ошибка.

И вот уже неделю наблюдаю очень странные GET, CONNECT запросы в логах

Полный лог ниже, здесь выделю самые интересные:

"GET /civis/viewforum.php?f=1115&sid=q78742u707.x0i46c415h24 HTTP/1.0" 403 486 "http://smilevitalize.net/" "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko"

"CONNECT smtp.mail.yahoo.com:25 HTTP/1.0" 400 172 "-" "-"

"\x16\x03\x01\x01\x1E\x01\x00\x01\x1A\x03\x03W" 400 172 "-" "-"

"GET /testproxy.php HTTP/1.0" 403 487 "-" "Mozilla/5.0 (Windows NT 5.1; rv:32.0) Gecko/20100101 Firefox/31.0"

"GET /cache/global/img/gs.gif HTTP/1.0" 403 491 "-" "Mozilla"

"GET //admin/config.php HTTP/1.0" 403 483 "-" "libwww-perl/6.15" 


213.152.161.138 - - [10/Apr/2016:06:05:43 +0300] "GET /civis/viewforum.php?f=1115&sid=q78742u707.x0i46c415h24 HTTP/1.0" 403 486 "http://smilevitalize.net/" "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko"

69.64.34.137 - - [10/Apr/2016:06:39:32 +0300] "GET / HTTP/1.0" 403 467 "-" "Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1"

104.245.235.99 - - [10/Apr/2016:07:22:16 +0300] "GET / HTTP/1.0" 403 463 "-" "masscan/1.0 (https://github.com/robertdavidgraham/masscan)"

80.82.70.24 - - [10/Apr/2016:10:05:45 +0300] "GET / HTTP/1.0" 403 469 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.2.28) Gecko/20120306 Firefox/3.6.28 (.NET CLR 3.5.30729)"

69.30.202.117 - - [10/Apr/2016:10:06:50 +0300] "GET / HTTP/1.0" 403 476 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0)"

74.91.20.194 - - [10/Apr/2016:10:13:17 +0300] "GET / HTTP/1.0" 403 468 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0)"

107.150.32.62 - - [10/Apr/2016:10:42:20 +0300] "GET / HTTP/1.0" 403 468 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0)"

114.43.1.240 - - [10/Apr/2016:11:36:22 +0300] "CONNECT smtp.mail.yahoo.com:25 HTTP/1.0" 400 172 "-" "-"

114.43.1.240 - - [10/Apr/2016:11:36:41 +0300] "CONNECT smtp.mail.yahoo.com:25 HTTP/1.0" 400 172 "-" "-"

69.30.202.226 - - [10/Apr/2016:11:49:00 +0300] "GET / HTTP/1.0" 403 468 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0)"

69.30.226.99 - - [10/Apr/2016:12:16:12 +0300] "GET / HTTP/1.0" 403 468 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0)"

188.138.33.173 - - [10/Apr/2016:12:20:29 +0300] "\x16\x03\x01\x01\x1E\x01\x00\x01\x1A\x03\x03W" 400 172 "-" "-"

188.138.33.173 - - [10/Apr/2016:12:20:29 +0300] "GET //a2billing/customer/templates/default/header.tpl HTTP/1.0" 403 515 "-" "libwww-perl/6.15"

31.131.22.132 - - [10/Apr/2016:12:38:18 +0300] "GET / HTTP/1.0" 403 468 "-" "curl/7.47.0"

185.49.14.190 - - [10/Apr/2016:12:51:01 +0300] "GET /testproxy.php HTTP/1.0" 403 490 "-" "Mozilla/5.0 (Windows NT 5.1; rv:32.0) Gecko/20100101 Firefox/31.0"

188.138.33.173 - - [10/Apr/2016:13:22:59 +0300] "\x16\x03\x01\x01\x1E\x01\x00\x01\x1A\x03\x03W" 400 172 "-" "-"

188.138.33.173 - - [10/Apr/2016:13:22:59 +0300] "GET //admin/config.php HTTP/1.0" 403 484 "-" "libwww-perl/6.15"

185.49.14.190 - - [10/Apr/2016:13:36:15 +0300] "GET /testproxy.php HTTP/1.0" 403 487 "-" "Mozilla/5.0 (Windows NT 5.1; rv:32.0) Gecko/20100101 Firefox/31.0"

185.25.148.240 - - [10/Apr/2016:13:48:04 +0300] "GET /testproxy.php HTTP/1.0" 403 490 "-" "Mozilla/5.0 (Windows NT 5.1; rv:32.0) Gecko/20100101 Firefox/31.0"

169.229.3.91 - - [10/Apr/2016:13:54:50 +0300] "\x01\xEE\xE8" 400 172 "-" "-"

188.138.33.173 - - [10/Apr/2016:14:14:38 +0300] "\x16\x03\x01\x01\x1E\x01\x00\x01\x1A\x03\x03W" 400 172 "-" "-"

188.138.33.173 - - [10/Apr/2016:14:14:38 +0300] "GET / HTTP/1.0" 403 468 "-" "libwww-perl/6.15"

69.30.202.226 - - [10/Apr/2016:14:29:56 +0300] "GET / HTTP/1.0" 403 468 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0)"

74.91.18.45 - - [10/Apr/2016:15:07:45 +0300] "GET / HTTP/1.0" 403 468 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0)"

74.91.23.108 - - [10/Apr/2016:15:23:48 +0300] "GET / HTTP/1.0" 403 476 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0)"

74.91.23.106 - - [10/Apr/2016:15:43:35 +0300] "GET / HTTP/1.0" 403 476 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0)"

188.138.33.173 - - [10/Apr/2016:15:54:33 +0300] "GET //a2billing/customer/templates/default/header.tpl HTTP/1.0" 403 514 "-" "libwww-perl/6.15"

80.82.78.38 - - [10/Apr/2016:16:20:53 +0300] "GET /cache/global/img/gs.gif HTTP/1.0" 403 491 "-" "Mozilla"

188.138.33.173 - - [10/Apr/2016:16:53:23 +0300] "GET //admin/config.php HTTP/1.0" 403 483 "-" "libwww-perl/6.15"

188.138.33.173 - - [10/Apr/2016:17:51:02 +0300] "GET / HTTP/1.0" 403 467 "-" "libwww-perl/6.15"

77.123.30.150 - - [10/Apr/2016:18:00:35 +0300] "GET / HTTP/1.0" 403 468 "-" "Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1"

77.123.30.150 - - [10/Apr/2016:18:00:40 +0300] "GET /HNAP1/ HTTP/1.0" 403 474 "http://80.87.202.197/" "Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1"

194.28.115.229 - - [10/Apr/2016:18:18:49 +0300] "GET / HTTP/1.0" 403 467 "-" "Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1"

194.28.115.229 - - [10/Apr/2016:18:18:50 +0300] "GET /HNAP1/ HTTP/1.0" 403 473 "http://37.46.128.91/" "Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1"

114.43.1.240 - - [10/Apr/2016:18:28:23 +0300] "CONNECT smtp.mail.yahoo.com:25 HTTP/1.0" 400 172 "-" "-"

46.151.6.17 - - [10/Apr/2016:18:51:23 +0300] "GET / HTTP/1.0" 403 468 "-" "Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1"

46.151.6.17 - - [10/Apr/2016:18:51:23 +0300] "GET /HNAP1/ HTTP/1.0" 403 474 "http://80.87.202.197/" "Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1"

194.28.115.229 - - [10/Apr/2016:19:31:21 +0300] "GET / HTTP/1.0" 403 468 "-" "Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1"

194.28.115.229 - - [10/Apr/2016:19:31:21 +0300] "GET /HNAP1/ HTTP/1.0" 403 474 "http://80.87.202.197/" "Mozilla/5.0 (Windows NT 5.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1"

193.124.183.62 - - [10/Apr/2016:19:35:14 +0300] "GET / HTTP/1.0" 403 467 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:18.0) Gecko/20100101 Firefox/18.0"

Второй момент - на этом же VDS есть второй сайт, который еще и в индекс-то не попал, а уже поступают много подозрительных POST запросов к /wp-login.php . Как я понял, это попытка входа.

Как увидел сразу же поставил плагин, который ограничивает кол-во попыток входа. После этого вроде бы больше нет этих запросов.

Объясните, что за запросы к первому, еще не созданному сайту.

CN
На сайте с 11.04.2016
Offline
16
CoruNethron
#1

Могу подтвердить, что ко мне тоже внезапно постучались. В частности с 104.245.235.99 точно был запрос. Запросы похожие, типа к /HNAP1/ и всё такое. В свою очередь - зашёл на этот IP, нашёл несколько хакерских скриптов, по порту 8112 нашёл веб-интерфейс торрента, скачал владельцу этого IP немного нормальной музыки.

Просто хакер или студент балуется, там в логах мелькает ссылочка на сканер портов с гитхаба.

Google Search Console по Google: Как защитить сайт Все, что вам нужно
AH
На сайте с 18.03.2006
Offline
204
Art-Host
#2
vova1609:
Объясните, что за запросы к первому, еще не созданному сайту.

Это боты, которые ищут дыры на вашем сайте для взлома или спама.

Цены на регистрацию доменов ( https://1reg.online/domains.price ).

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий