Drum4ik

Рейтинг
25
Регистрация
11.09.2009
Подскажите VDS с веб интерфейсом

/ru/forum/461270

Лицензия на панель за доп. плату.

С бесплатными лицензиями (Начиная с UnixVPS 2) - http://unixhost.com.ua/vds.php

wtf?

Кому интересно:

Это были боты которые видимо нашли дыру в апаче и коннектились в через нее, отключение мода прокси результата не дало, показалось просто.

Способы решения проблемы:

1. Не ставить апач на порт 8080 (не совсем решение, но все же).

2. Если не хотите изменять порт - закройте порт 8080 (на ispманагаре + nginx этот порт юзается апачем по умолчанию и изменить порт будет геморно при наличие большого количество вхостов).

3. Установить фаервол csf - http://www.configserver.com/cp/csf.html

После установки фаервола все боты ушли в бан.

wtf?
cyber2:
по идее просто через ваш сервер вызывали форму отправки сообщения обратной связи на http://www.hackingtonpc.kentparishes.gov.uk и уже через нее слали спам.





doves-wholesale.com
legalmdma.net
Эти домены принадлежат одному акку, как я понимаю... с него скорее всего и рассылалось...
Акк давно создан? если давно - скорее всего вломили ему какую-нить джумлу и тд
если недавно - скорее всего спамер :)

cyber2 добавил 19.02.2010 в 16:31
Creation Date: 15-Feb-2010

таки да, домены недавно созданы, один акк, скорее всего злостный спамер
гоните David Rayson, акк rdavidr нафиг с хостинга :)
неужели у вас не вызвало подозрения что в имени доменов упоминаются таблетки, и вообще, часто к вам из Великобритании клиенты приходят? У вас же сайт как я понимаю только на русском?

Нашел дырку, в апаче был включен прокси модуль. После отключения запросов существенно поменьшало.

Насчет rdavidr, проверил его файлы неоднократно, так ничего и не нашел. Будь это обычный клиент я бы его уже давно отключил, но этот за неделю у нас потратил 800$.

wtf?
madoff:
Совсем запутался. абуза на спам, причём тут тогда сервер статус.

Смотрите в очередях /var/spool/mail кто там рассылает письма.

Думаете я не запутался)

Судя по всему спам рассылается не sendmailом.

visionasvd@gmail.com - мыло с которого рассылается спам.

Из лога апача:

89.149.209.11 - - [19/Feb/2010:22:26:16 +0200] "GET http://www.hackingtonpc.kentparishes.gov.uk/default.cfm?pid=leavemsg&msg=fail&name=visionasvd&email=visionasvd@gmail.com&title=BOreXtIjLmvc&content=http://my.telegraph.co.uk/kc5x6l65vyk%20kc5x6l65vyk%20%7C%20%3Ca%20href=%22http://my.telegraph.co.uk/kc5x6l65vyk%22%3E%20kc5x6l65vyk%20%3C/a%3E%0d%0ahttp://my.telegraph.co.uk/prcjmamhoe7%20prcjmamhoe7%20%7C%20%3Ca%20href=%22http://my.telegraph.co.uk/prcjmamhoe7%22%3E%20prcjmamhoe7%20%3C/a%3E%0d%0ahttp://mipagina.univision.com/neyrecharma1976%20neyrecharma1976%20%7C%20%3Ca%20href=%22http://mipagina.univision.com/neyrecharma1976%22%3E%20neyrecharma1976%20%3C/a%3E%0d%0ahttp://previewcommunity.wnetwork.com/members/60font6kt8m/default.aspx%2060font6kt8m%20%7C%20%3Ca%20href=%22http://previewcommunity.wnetwork.com/members/60font6kt8m/default.aspx%22%3E%2060font6kt8m%20%3C/a%3E%0d%0ahttp://previewcommunity.wnetwork.com/members/ne1x8ryxv0o/default.aspx%20ne1x8ryxv0o%20%7C%20%3Ca%20href=%22http://previewcommunity.wnetwork.com/members/ne1x8ryxv0o/default.aspx%22%3E%20ne1x8ryxv0o%20%3C/a%3E%0d%0ahttp://mipagina.univision.com/sondgunraitu1985%20sondgunraitu1985%20%7C%20%3Ca%20href=%22http://mipagina.univision.com/sondgunraitu1985%22%3E%20sondgunraitu1985%20%3C/a%3E%0d%0ahttp://www.cavfanatic.com/t3un84fuhau%20t3un84fuhau%20%7C%20%3Ca%20href=%22http://www.cavfanatic.com/t3un84fuhau%22%3E%20t3un84fuhau%20%3C/a%3E%0d%0ahttp://previewcommunity.wnetwork.com/members/u5pa5bbsjh4/default.aspx%20u5pa5bbsjh4%20%7C%20%3Ca%20href=%22http://previewcommunity.wnetwork.com/members/u5pa5bbsjh4/default.aspx%22%3E%20u5pa5bbsjh4%20%3C/a%3E%0d%0ahttp://previewcommunity.wnetwork.com/members/hixefkqswlq/default.aspx%20hixefkqswlq%20%7C%20%3Ca%20href=%22http://previewcommunity.wnetwork.com/members/hixefkqswlq/default.aspx%22%3E%20hixefkqswlq%20%3C/a%3E%0d%0ahttp://www.cavfanatic.com/aasfwjgayw2%20aasfwjgayw2%20%7C%20%3Ca%20href=%22http://www.cavfanatic.com/aasfwjgayw2%22%3E%20aasfwjgayw2%20%3C/a%3E%0d%0ahttp://my.telegraph.co.uk/2yis9g96m1p%202yis9g96m1p%20%7C%20%3Ca%20href=%22http://my.telegraph.co.uk/2yis9g96m1p%22%3E%202yis9g96m1p%20%3C/a%3E%0d%0ahttp://mipagina.univision.com/renlemiti1977%20renlemiti1977%20%7C%20%3Ca%20href=%22http://mipagina.univision.com/renlemiti1977%22%3E%20renlemiti1977%20%3C/a%3E%0d%0ahttp://www.cavfanatic.com/oj9n5t0zcxf%20oj9n5t0zcxf%20%7C%20%3Ca%20href=%22http://www.cavfanatic.com/oj9n5t0zcxf%22%3E%20oj9n5t0zcxf%20%3C/a%3E%0d%0ahttp://mipagina.univision.com/layhicoso1978%20layhicoso1978%20%7C%20%3Ca%20href=%22http://mipagina.univision.com/layhicoso1978%22%3E%20layhicoso1978%20%3C/a%3E%0d%0ahttp://mipagina.univision.com/liekogemi1978%20liekogemi1978%20%7C%20%3Ca%20href=%22http://mipagina.univision.com/liekogemi1978%22%3E%20liekogemi1978%20%3C/a%3E%0d%0ahttp://previewcommunity.wnetwork.com/members/a0s2zxjwymx/default.aspx%20a0s2zxjwymx%20%7C%20%3Ca%20href=%22http://previewcommunity.wnetwork.com/members/a0s2zxjwymx/default.aspx%22%3E%20a0s2zxjwymx%20%3C/a%3E%0d%0ahttp://mipagina.univision.com/abarrefor1972%20abarrefor1972%20%7C%20%3Ca%20href=%22http://mipagina.univision.com/abarrefor1972%22%3E%20abarrefor1972%20%3C/a%3E%0d%0ahttp://previewcommunity.wnetwork.com/members/337q88u32ie/default.aspx%20337q88u32ie%20%7C%20%3Ca%20href=%22http://previewcommunity.wnetwork.com/members/337q88u32ie/default.aspx%22%3E%20337q88u32ie%20%3C/a%3E%0d%0ahttp://mipagina.univision.com/probnecowi1971%20probnecowi1971%20%7C%20%3Ca%20href=%22http://mipagina.univision.com/probnecowi1971%22%3E%20probnecowi1971%20%3C/a%3E%0d%0ahttp://previewcommunity.wnetwork.com/members/esob9gy4jjl/default.aspx%20esob9gy4jjl%20%7C%20%3Ca%20href=%22http://previewcommunity.wnetwork.com/members/esob9gy4jjl/default.aspx%22%3E%20esob9gy4jjl%20%3C/a%3E%0d%0ahttp://my.telegraph.co.uk/0ebxk4nc48o%200ebxk4nc48o%20%7C%20%3Ca%20href=%22http://my.telegraph.co.uk/0ebxk4nc48o%22%3E%200ebxk4nc48o%20%3C/a%3E%0d%0ahttp://mipagina.univision.com/eraffide1973%20eraffide1973%20%7C%20%3Ca%20href=%22http://mipagina.univision.com/eraffide1973%22%3E%20eraffide1973%20%3C/a%3E%0d%0ahttp://previewcommunity.wnetwork.com/members/2kv1fkwq2la/default.aspx%202kv1fkwq2la%20%7C%20%3Ca%20href=%22http://previewcommunity.wnetwork.com/members/2kv1fkwq2la/default.aspx%22%3E%202kv1fkwq2la%20%3C/a%3E%0d%0ahttp://mipagina.univision.com/fisbuckbrideas1974%20fisbuckbrideas1974%20%7C%20%3Ca%20href=%22http://mipagina.univision.com/fisbuckbrideas1974%22%3E%20fisbuckbrideas1974%20%3C/a%3E%0d%0ahttp://mipagina.univision.com/cryppimade1978%20cryppimade1978%20%7C%20%3Ca%20href=%22http://mipagina.univision.com/cryppimade1978%22%3E%20cryppimade1978%20%3C/a%3E%0d%0ahttp://my.telegraph.co.uk/8tl35w0t9vj%208tl35w0t9vj%20%7C%20%3Ca%20href=%22http://my.telegraph.co.uk/8tl35w0t9vj%22%3E%208tl35w0t9vj%20%3C/a%3E%0d%0ahttp://previewcommunity.wnetwork.com/members/8anodmjde2p/default.aspx%208anodmjde2p%20%7C%20%3Ca%20href=%22http://previewcommunity.wnetwork.com/members/8anodmjde2p/default.aspx%22%3E%208anodmjde2p%20%3C/a%3E%0d%0ahttp://mipagina.univision.com/tingcatdega1989%20tingcatdega1989%20%7C%20%3Ca%20href=%22http://mipagina.univision.com/tingcatdega1989%22%3E%20tingcatdega1989%20%3C/a%3E%0d%0ahttp://my.telegraph.co.uk/nepkc60w6v6%20nepkc60w6v6%20%7C%20%3Ca%20href=%22http://my.telegraph.co.uk/nepkc60w6v6%22%3E%20nepkc60w6v6%20%3C/a%3E%0d%0a HTTP/1.1" 200 22512 "http://www.hackingtonpc.kentparishes.gov.uk/default.cfm?pid=leavemsg&msg=fail&name=visionasvd&email=visionasvd@gmail.com&title=BOreXtIjLmvc&content=http://my.telegraph.co.uk/kc5x6l65vyk%20kc5x6l65vyk%20%7C%20%3Ca%20href=%22http://my.telegraph.co.uk/kc5x6l65vyk%22%3E%20kc5x6l65vyk%20%3C/a%3E%0d%0ahttp://my.telegraph.co.uk/prcjmamhoe7%20prcjmamhoe7%20%7C%20%3Ca%20href=%22http://my.telegraph.co.uk/prcjmamhoe7%22%3E%20prcjmamhoe7%20%3C/a%3E%0d%0ahttp://mipagina.univision.com/neyrecharma1976%20neyrecharma1976%20%7C%20%3Ca%20href=%22http://mipagina.univision.com/neyrecharma1976%22%3E%20neyrecharma1976%20%3C/a%3E%0d%0ahttp://previewcommunity.wnetwork.com/members/60font6kt8m/default.aspx%2060font6kt8m%20%7C%20%3Ca%20href=%22http://previewcommunity.wnetwork.com/members/60font6kt8m/default.aspx%22%3E%2060font6kt8m%20%3C/a%3E%0d%0ahttp://previewcommunity.wnetwork.com/members/ne1x8ryxv0o/default.aspx%20ne1x8ryxv0o%20%7C%20%3Ca%20href=%22http://previewcommunity.wnetwork.com/members/ne1x8ryxv0o/default.aspx%22%3E%20ne1x8ryxv0o%20%3C/a%3E%0d%0ahttp://mipagina.univision.com/sondgunraitu1985%20sondgunraitu1985%20%7C%20%3Ca%20href=%22http://mipagina.univision.com/sondgunraitu1985%22%3E%20sondgunraitu1985%20%3C/a%3E%0d%0ahttp://www.cavfanatic.com/t3un84fuhau%20t3un84fuhau%20%7C%20%3Ca%20href=%22http://www.cavfanatic.com/t3un84fuhau%22%3E%20t3un84fuhau%20%3C/a%3E%0d%0ahttp://previewcommunity.wnetwork.com/members/u5pa5bbsjh4/default.aspx%20u5pa5bbsjh4%20%7C%20%3Ca%20href=%22http://previewcommunity.wnetwork.com/members/u5pa5bbsjh4/default.aspx%22%3E%20u5pa5bbsjh4%20%3C/a%3E%0d%0ahttp://previewcommunity.wnetwork.com/members/hixefkqswlq/default.aspx%20hixefkqswlq%20%7C%20%3Ca%20href=%22http://previewcommunity.wnetwork.com/members/hixefkqswlq/default.aspx%22%3E%20hixefkqswlq%20%3C/a%3E%0d%0ahttp://www.cavfanatic.com/aasfwjgayw2%20aasfwjgayw2%20%7C%20%3Ca%20href=%22http://www.cavfanatic.com/aasfwjgayw2%22%3E%20aasfwjgayw2%20%3C/a%3E%0d%0ahttp://my.telegraph.co.uk/2yis9g96m1p%202yis9g96m1p%20%7C%20%3Ca%20href=%22http://my.telegraph.co.uk/2yis9g96m1p%22%3E%202yis9g96m1p%20%3C/a%3E%0d%0ahttp://mipagina.univision.com/renlemiti1977%20renlemiti1977%20%7C%20%3Ca%20href=%22http://mipagina.univision.com/renlemiti1977%22%3E%20renlemiti1977%20%3C/a%3E%0d%0ahttp://www.cavfanatic.com/oj9n5t0zcxf%20oj9n5t0zcxf%20%7C%20%3Ca%20href=%22http://www.cavfanatic.com/oj9n5t0zcxf%22%3E%20oj9n5t0zcxf%20%3C/a%3E%0d%0ahttp://mipagina.univision.com/layhicoso1978%20layhicoso1978%20%7C%20%3Ca%20href=%22http://mipagina.univision.com/layhicoso1978%22%3E%20layhicoso1978%20%3C/a%3E%0d%0ahttp://mipagina.univision.com/liekogemi1978%20liekogemi1978%20%7C%20%3Ca%20href=%22http://mipagina.univision.com/liekogemi1978%22%3E%20liekogemi1978%20%3C/a%3E%0d%0ahttp://previewcommunity.wnetwork.com/members/a0s2zxjwymx/default.aspx%20a0s2zxjwymx%20%7C%20%3Ca%20href=%22http://previewcommunity.wnetwork.com/members/a0s2zxjwymx/default.aspx%22%3E%20a0s2zxjwymx%20%3C/a%3E%0d%0ahttp://mipagina.univision.com/abarrefor1972%20abarrefor1972%20%7C%20%3Ca%20href=%22http://mipagina.univision.com/abarrefor1972%22%3E%20abarrefor1972%20%3C/a%3E%0d%0ahttp://previewcommunity.wnetwork.com/members/337q88u32ie/default.aspx%20337q88u32ie%20%7C%20%3Ca%20href=%22http://previewcommunity.wnetwork.com/members/337q88u32ie/default.aspx%22%3E%20337q88u32ie%20%3C/a%3E%0d%0ahttp://mipagina.univision.com/probnecowi1971%20probnecowi1971%20%7C%20%3Ca%20href=%22http://mipagina.univision.com/probnecowi1971%22%3E%20probnecowi1971%20%3C/a%3E%0d%0ahttp://previewcommunity.wnetwork.com/members/esob9gy4jjl/default.aspx%20esob9gy4jjl%20%7C%20%3Ca%20href=%22http://previewcommunity.wnetwork.com/members/esob9gy4jjl/default.aspx%22%3E%20esob9gy4jjl%20%3C/a%3E%0d%0ahttp://my.telegraph.co.uk/0ebxk4nc48o%200ebxk4nc48o%20%7C%20%3Ca%20href=%22http://my.telegraph.co.uk/0ebxk4nc48o%22%3E%200ebxk4nc48o%20%3C/a%3E%0d%0ahttp://mipagina.univision.com/eraffide1973%20eraffide1973%20%7C"Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1

Видимо на сервере все таки где-то присутствует proxy-скрипт.

wtf?

Пришла абуза на спам, судя по этому:


[root@gigant ~]# grep -rl 'visionasvd@gmail.com' /var/www
/var/www/httpd-logs/doves-wholesale.com.error.log
/var/www/httpd-logs/legalmdma.net.access.log
/var/www/httpd-logs/gigant.unixhost.com.ua.access.log
/var/www/httpd-logs/doves-wholesale.com.access.log
/var/www/test/data/logs/gigant.unixhost.com.ua.access.log
/var/www/rdavidr-user/data/logs/doves-wholesale.com.error.log
/var/www/rdavidr-user/data/logs/legalmdma.net.access.log
/var/www/rdavidr-user/data/logs/doves-wholesale.com.access.log

это связано с этими долбаными запросами. осталось найти скрипт.

wtf?
myhand:
Drum4ik, вы тестировали такие запросы (GET http:// etc) к своему серверу? Может Вы и в самом деле open proxy устроили? :)

Я ничего не устраивал, если и устроил то клиент. Проверю еще раз файлы юзеров.

wtf?
madoff:
Что за система у вас, для начала, если это хостинг то всё как бы норм у вас, у юзеров созданы домены пачками, и обращаютца к ним что тут не так то ?

Вы вообще обычные, здоровые запросы видели?

Вот Вам для сравнения:


Srv	PID	Acc	M	CPU 	SS	Req	Conn	Child	Slot	Client	VHost	Request
0-347	17492	1/4/6862	C 	0.09	0	466	0.0	0.00	103.72 	216.129.119.14	www.tytbyldomen.ru	GET /doc/176/consult/master-po-manikyuru-ishchet-rabotu.html HT
1-347	17496	0/2/6636	_ 	0.12	2	0	0.0	0.01	84.91 	78.111.24.4	www.tytbyldomen.ru	GET /orphus.js HTTP/1.0
2-347	-	0/0/6580	. 	0.16	1	417	0.0	0.00	134.96 	188.72.80.203	www.tytbyldomen.ru	GET / HTTP/1.0
3-347	-	0/0/6689	. 	2.10	0	0	0.0	0.00	87.93 	77.120.161.76	www.tytbyldomen.ru	GET /engine/skins/default.js HTTP/1.1
4-347	-	0/0/6568	. 	0.08	3	20	0.0	0.00	79.34 	217.12.212.179	www.tytbyldomen.ru	GET /templates/daydreamer2/images/spacer.gif HTTP/1.0
5-347	17462	0/16/6228	_ 	0.19	2	0	0.0	0.11	80.08 	78.111.24.4	www.tytbyldomen.ru	GET /images/logo.png HTTP/1.0
6-347	16571	0/127/5696	_ 	3.81	2	0	0.0	2.05	130.34 	77.120.161.76	www.tytbyldomen.ru	GET /templates/open/css/engine.css HTTP/1.1
7-347	17463	0/15/5850	_ 	0.60	1	20	0.0	0.10	61.67 	109.187.160.80	www.tytbyldomen.ru	GET /uploads/posts/2009-10/1256566735_ghghh-yuolkjq.jpg HTTP/1.
8-347	-	0/0/5089	. 	0.00	8	0	0.0	0.00	77.87 	91.78.50.115	www.tytbyldomen.ru	GET /img/layo016.jpg HTTP/1.0
9-347	-	0/0/5313	. 	0.07	10	0	0.0	0.00	66.26 	91.78.50.115	www.tytbyldomen.ru	GET /img/layo008.jpg HTTP/1.0
10-347	-	0/0/4772	. 	0.92	20	0	0.0	0.00	122.60 	89.207.69.111	www.tytbyldomen.ru	GET /template_css.css HTTP/1.0
11-347	17088	0/66/5676	_ 	1.48	1	0	0.0	0.57	58.50 	83.69.130.167	www.tytbyldomen.ru	GET /public/uploads/divo.jpg HTTP/1.0
12-347	17091	0/61/5240	_ 	0.60	0	59	0.0	0.44	57.16 	95.108.128.241	www.tytbyldomen.ru	GET /page/kanal-teleklub HTTP/1.0
13-347	-	0/0/4932	. 	0.00	14	0	0.0	0.00	88.12 	94.248.48.206	www.tytbyldomen.ru	GET /MicrobCMS/Templates/TPL7/imgs/bbg.gif HTTP/1.0
14-347	17467	0/16/4419	W 	0.02	0	0	0.0	0.14	165.71 	188.72.80.203	www.tytbyldomen.ru	GET /2009/04/ddos-%d0%b2%d1%96%d0%b4%d0%bc%d0%be%d0%b2%d0%b0-%d
15-347	17468	0/16/4392	W 	0.19	6	0	0.0	0.13	49.38 	77.120.161.76	www.tytbyldomen.ru	GET /reliz/416-datalife-engine-83-final-release-nulled-by-fintm
16-347	17469	1/18/4050	C 	0.62	1	2267	18.4	0.30	44.20 	83.69.130.167	www.tytbyldomen.ru	GET /public/uploads/polevich.jpg HTTP/1.0
17-347	17470	0/15/4330	_ 	2.89	2	0	0.0	0.11	54.80 	78.111.24.4	www.tytbyldomen.ru	GET /themes/SO/images/bullet.gif HTTP/1.0
18-347	15468	0/297/4196	_ 	9.15	1	151	0.0	1.99	37.10 	188.72.80.203	www.tytbyldomen.ru	GET /2009/04/%d0%b2%d1%80%d0%b0%d0%b7%d0%bb%d0%b8%d0%b2%d0%be%d
19-347	17471	0/17/3883	_ 	0.20	2	0	0.0	0.32	104.52 	77.120.161.76	www.tytbyldomen.ru	GET /templates/open/css/style.css HTTP/1.1
20-347	17097	0/57/3211	_ 	3.22	0	135	0.0	0.59	57.22 	188.72.80.203	www.tytbyldomen.ru GET /2009/04/%d0%be%d0%b1%d1%85%d1%96%d0%b4-%d0%b0%d0%b2%d1%82%
21-347	-	0/0/3008	. 	0.00	21	1	0.0	0.00	103.99 	95.56.230.88	www.tytbyldomen.ru	GET /engine/skins/default.js HTTP/1.0
22-347	14260	0/62/2312	W 	1.58	755	0	0.0	0.43	84.98 	77.88.29.248	www.tytbyldomen.ru GET /index.php?do=lineage&module=heroes&server=0 HTTP/1.1
23-347	-	0/0/2619	. 	1.30	13	70	0.0	0.00	43.94 	212.56.196.74	www.tytbyldomen.ru	GET /downloads/love/love3/Untitled-2.jpg HTTP/1.0
24-347	-	0/0/2304	. 	0.00	18	0	0.0	0.00	34.41 	89.207.69.111	www.tytbyldomen.ru	GET /center2.jpg HTTP/1.0
25-347	-	0/0/1875	. 	0.11	67	29	0.0	0.00	94.54 	95.190.203.155	www.tytbyldomen.ru	GET /engine/download.php?id=ODI%3D9be4480a489c1c9c0bc0e60cd8d1f
26-347	17102	0/64/2779	_ 	0.11	2	0	0.0	0.41	27.61 	78.111.24.4	www.tytbyldomen.ru	GET /themes/SO/images/cellpic1.gif HTTP/1.0
27-347	17103	0/52/2443	W 	0.39	0	0	0.0	0.41	39.94 	188.163.34.49	www.tytbyldomen.ru	GET /httpd-status HTTP/1.0
28-347	-	0/0/1557	. 	0.03	70	0	0.0	0.00	25.30 	213.184.241.100	www.tytbyldomen.ru	GET /MicrobCMS/Templates/TPL3/imgs/b_tl.gif HTTP/1.0
29-347	-	0/0/1298	. 	0.01	65	0	0.0	0.00	51.24 	217.27.131.158	www.tytbyldomen.ru	GET /images/M_images/rating_star_blank.png HTTP/1.1
30-347	-	0/0/1165	. 	0.05	71	0	0.0	0.00	14.84 	213.184.241.100	www.tytbyldomen.ru	GET /MicrobCMS/Templates/TPL3/style.css HTTP/1.0
31-347	-	0/0/698	. 	0.04	64	0	0.0	0.00	17.88 	109.184.175.99	www.tytbyldomen.ru	GET /MicrobCMS/Templates/TPL7/imgs/rptl_004.gif HTTP/1.0
32-347	-	0/0/1255	. 	0.95	12	30	0.0	0.00	23.86 	217.12.212.179	www.tytbyldomen.ru	GET /components/com_k2/images/system/transparent_star.gif HTTP/
33-347	-	0/0/404	. 	0.02	49	5	0.0	0.00	3.63 	217.12.212.179	www.tytbyldomen.ru	GET /components/com_virtuemart/show_image_in_imgtag.php?filenam
34-347	-	0/0/977	. 	0.34	60	0	0.0	0.00	14.61 	217.27.131.158	www.tytbyldomen.ru	GET /sun62458_ajax.js HTTP/1.1
35-347	-	0/0/288	. 	0.40	17	0	0.0	0.00	2.16 	94.248.48.206	www.tytbyldomen.ru	GET /MicrobCMS/Templates/TPL7/imgs/rptl_004.gif HTTP/1.0
36-347	17113	0/65/806	_ 	0.67	2	0	0.0	0.39	7.55 	78.111.24.4	www.tytbyldomen.ru	GET /orphus.gif HTTP/1.0
37-347	-	0/0/393	. 	0.00	68	0	0.0	0.00	6.50 	217.27.131.158	www.tytbyldomen.ru	GET /templates/wr_rationovus/images/content_top.gif HTTP/1.1
38-347	-	0/0/587	. 	2.22	19	0	0.0	0.00	7.98 	89.207.69.111	www.tytbyldomen.ru	GET /Open101.jpg HTTP/1.0
39-347	-	0/0/436	. 	0.04	58	0	0.0	0.00	3.98 	80.239.242.31	www.tytbyldomen.ru GET /orphus.gif HTTP/1.0
40-347	-	0/0/627	. 	0.07	56	19	0.0	0.00	8.95 	77.239.174.209	www.tytbyldomen.ru	GET /2009/6/ HTTP/1.0
41-347	-	0/0/664	. 	0.53	9	0	0.0	0.00	13.38 	213.87.76.108	www.tytbyldomen.ru	GET /templates/summerStyle/images/news_left_bottom.gif HTTP/1.0
42-347	-	0/0/504	. 	1.84	63	0	0.0	0.00	4.34 	109.184.175.99	www.tytbyldomen.ru	GET /MicrobCMS/Templates/TPL7/imgs/bbg.gif HTTP/1.0
43-347	-	0/0/731	. 	0.95	77	0	0.0	0.00	9.29 	83.143.192.41	www.tytbyldomen.ru	GET /images/bg_footer.gif HTTP/1.1
44-347	-	0/0/317	. 	0.04	62	47	0.0	0.00	6.40 	95.108.128.241	www.tytbyldomen.ru	GET /knigi/elektronnwe/1459-klientw-imeuschie-dlj-vas-znachenie

[asdasd@gigant ~]# ps ax | grep perl
23815 pts/2 S+ 0:00 grep perl
[asdasd@gigant ~]# ps ax | grep pl
23900 pts/2 S+ 0:00 grep pl
[asdasd@gigant ~]# ps ax | grep cgi
23832 pts/2 S+ 0:00 grep cgi

Еще раз повторяю, меня волнуют GET запросы и коннекты на левые сайты, если Вы не поняли.

wtf?
madoff:
Ну как это "непонятно от куда" от сюда , берём первую строчку.

Srv	PID	Acc	M	CPU 	SS	Req	Conn	Child	Slot	Client	  VHost	Request

"Client - к серверу"     "сервер -  VHost"	         "Request запрос между  Client VHost"	   
82.138.32.105	        whiteladycocaine.com	GET http://top.list.ru/counter?id=611501;js=13;r=;j=true;s=1280

Я не слепой. В root-директориях никаких скриптов не обнаружено. Только на скольких сайтах на данном аккаунте стоит ZeburumCMS (кажется так называется).

wtf? 


0-5	18909	1/5/4377	C 	0.00	0	172	0.0	0.00	77.26 	82.138.32.105	whiteladycocaine.com	GET http://top.list.ru/counter?id=611501;js=13;r=;j=true;s=1280
1-5	18700	0/30/4466	W 	0.02	155	0	0.0	0.32	51.45 	85.159.234.168	smoke3gwholesale.com	CONNECT api-secure.recaptcha.net:443 HTTP/1.0
2-5	17839	0/147/4402	_ 	0.09	1	516	0.0	1.12	62.23 	89.149.209.11	doves-wholesale.com	POST http://www.fmpro.org/news/274206058256/schedula-daybook-no
3-5	18906	1/9/4563	C 	0.00	0	380	8.5	0.01	51.46 	95.168.178.152	gigant.unixhost.com.ua	POST http://vkontakte.ru:80/gsearch.php?section=people HTTP/1.1
4-5	18910	0/1/4785	W 	0.00	24	0	0.0	0.00	70.97 	89.149.209.11	doves-wholesale.com	POST http://www.toyotashi-town.com/bin/tomobile.html HTTP/1.1
5-5	18908	0/12/4474	W 	0.00	17	0	0.0	0.07	49.97 	109.87.45.228	legalspeed.org	GET http://www.tao-2.com/cgi/yybbs/yybbs.cgi?page=15 HTTP/1.1
6-5	18837	0/34/4694	W 	0.01	45	0	0.0	0.09	54.70 	151.68.121.230	gigant.unixhost.com.ua	GET http://7fish.info/browse.php?b=5&u=Oi8vd3d3LmZhY2Vib29rLmNv
7-5	18911	1/6/4836	C 	0.00	0	145	12.2	0.01	53.42 	97.120.149.6	gigant.unixhost.com.ua	GET http://aurorachan.net/loli/thumb/1266047978741s.jpg HTTP/1.
8-5	18912	0/3/4318	W 	0.00	8	0	0.0	0.00	55.36 	85.159.235.57	whiteladycocaine.com	CONNECT www.ticketmaster.com:443 HTTP/1.0
9-5	18913	0/5/4214	_ 	0.00	0	364	0.0	0.00	79.37 	78.159.106.194	gigant.unixhost.com.ua	GET http://6boobs9.com//out.php?url=http://bar.juggcrew.com/258
10-5	18707	0/54/4484	R 	0.02	0	250	0.0	0.32	55.46 	?	?	..reading.. 
11-5	18708	0/37/4699	W 	0.02	1	0	0.0	0.48	53.35 	118.127.68.252	solidincense.com	GET http://118.127.68.249/test.html HTTP/1.1
12-5	18914	1/3/2662	C 	0.00	1	5620	5.5	0.01	24.47 	117.87.32.201	doves-wholesale.com	GET http://76142826.linkbucks.com/ HTTP/1.1
13-5	18243	0/87/3888	_ 	0.05	0	615	0.0	0.41	168.46 	78.159.125.175	gigant.unixhost.com.ua	GET http://oldjuggs.net/ HTTP/1.1
14-5	18414	0/42/4743	W 	0.02	10	0	0.0	0.79	55.38 	85.105.219.143	legalmdma.net	CONNECT 205.188.251.31:443 HTTP/1.0
15-5	18915	0/5/4495	_ 	0.00	0	125	0.0	0.00	77.78 	85.159.235.1	gigant.unixhost.com.ua	GET http://media.ticketmaster.com/en-us/js/47bdb406ad63423841a6
16-5	18245	0/86/4696	W 	0.05	48	0	0.0	0.46	59.38 	85.159.235.1	gigant.unixhost.com.ua	CONNECT a248.e.akamai.net:443 HTTP/1.0
17-5	18916	0/4/4710	_ 	0.00	0	5255	0.0	0.02	52.84 	115.178.65.46	gigant.unixhost.com.ua	GET http://images.google.com/ HTTP/1.1
18-5	18917	0/6/4500	W 	0.00	0	0	0.0	0.05	51.83 	95.168.178.152	legalspeed.org	GET http://login.vk.com:80/?vk= HTTP/1.1
19-5	18772	0/37/4324	_ 	0.01	0	328	0.0	0.07	50.43 	151.68.121.230	gigant.unixhost.com.ua	GET http://c.statcounter.com/t.php?sc_project=1124345&resolutio
20-5	18247	1/115/4294	C 	0.07	0	221	0.4	0.81	47.05 	204.152.195.146	doves-wholesale.com	GET http://www.uygur.org/uygur/index.php?m=foto&page=1&aid=2 HT
21-5	18918	0/6/4245	_ 	0.00	0	114	0.0	0.00	53.59 	85.159.235.1	gigant.unixhost.com.ua	GET http://media.ticketmaster.com/en-us/js/47bdb406ad63423841a6
22-5	18131	0/94/4366	W 	0.05	16	0	0.0	0.69	45.13 	78.129.167.195	whiteladycocaine.com	GET http://www.mctramp.de/product_reviews.php?products_id=9115&
23-5	18919	0/5/4355	W 	0.00	4	0	0.0	0.01	46.14 	85.159.235.57	whiteladycocaine.com	CONNECT www.ticketmaster.com:443 HTTP/1.0
24-5	18713	0/27/4522	W 	0.00	68	0	0.0	0.09	53.92 	128.143.71.227	doves-wholesale.com	GET http://v3.espacenet.com/searchResults?locale=en_V3&NUM=WO20
25-5	18249	0/91/4264	W 	0.05	60	0	0.0	0.34	45.29 	85.159.235.57	whiteladycocaine.com	CONNECT www.google.com:443 HTTP/1.0
26-5	18714	0/59/4340	W 	0.02	28	0	0.0	0.43	50.08 	58.61.180.242	gigant.unixhost.com.ua	GET http://www.nczqq.com/style/wangqi/15.gif HTTP/1.0
27-5	18920	0/8/4414	_ 	0.00	0	133	0.0	0.01	51.43 	85.159.234.111	thcfree.net	GET http://media.ticketmaster.com/en-us/js/47bdb406ad63423841a6
28-5	18716	0/36/3947	_ 	0.01	0	14524	0.0	0.36	61.70 	109.87.45.228	legalspeed.org	GET http://park23.wakwak.com/~adonis/cgi-bin/joyful.cgi?page=30
29-5	18341	0/123/4192	_ 	0.05	0	0	0.0	0.85	56.27 	194.225.235.16	doves-wholesale.com	CONNECT 64.27.53.10:80 HTTP/1.1
30-5	18921	0/7/4043	_ 	0.00	1	269	0.0	0.01	45.43 	70.26.159.119	gigant.unixhost.com.ua	POST http://romantic-collection.net/lastview_log HTTP/1.1

Вот меня волную вот эти запросы, непонятно от куда, кто в этом виноват и как от них избавится.

wtf?
madoff:
::1 gigant.unixhost.com.ua OPTIONS * HTTP/1.0
----
OPTIONS используется для передачи данных о соединении, apache их использует чтобы "разбудить" свои потомки. У вас видимо Debian Linux, подключения идут с localhost (ipv6-адрес ::1) если вы не используйте Ipv6 выключите его.

Я тоже гуглить умею. Я спрашиваю о картине в общем.

Все началось после поселения на сервер клиента который оплатим нам за это не мало денег. Собственно после отключения аккаунта запросы все равно идут, вчера перебанил с несколько десятков IP с которых шли такие запросы, стало вроде полегче, но достаточно много запросов еще осталось.

1... 141516171819202122 23
Всего: 223