Форум Сайтостроение Безопасность

Подозрительные редиректы в логах вебсервера

Vincent_
На сайте с 24.12.2008
Offline
136
Vincent_
1768

Сегодня читал логи апача и обнаружил подозрительные 301 редиректы.

Что имеем:

Сайту лет 5, сейчас на Drupal7 (иногда обновляется от критических уязвимостей). Сайт вполне себе дохлый 10-20 человек сутки. Страничек на нем около 1к.

Что беспокоит? Отрывок логов апача:

46.118.158.199	-	-	[01/Aug/2017:08:27:43	+0300]	GET /soedinenie-derevjannyh-detalej/ HTTP/1.0	301	-	https://omoikiri-japan.ru/	Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; MRA 4.3 (build 01218); .NET CLR 1.1.4322)
46.118.158.199	-	-	[01/Aug/2017:08:27:44	+0300]	GET /soedinenie-derevjannyh-detalej/ HTTP/1.0	301	-	https://omoikiri-japan.ru/	Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; MRA 4.3 (build 01218); .NET CLR 1.1.4322)
46.118.158.199	-	-	[01/Aug/2017:08:27:44	+0300]	GET /soedinenie-derevjannyh-detalej/ HTTP/1.0	301	-	https://omoikiri-japan.ru/	Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; MRA 4.3 (build 01218); .NET CLR 1.1.4322)
188.163.72.17	-	-	[01/Aug/2017:08:53:52	+0300]	GET /soedinenie-derevjannyh-detalej/ HTTP/1.0	301	-	http://life-instyle.com/architectural-design.html	Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; KKman2.0)
188.163.72.17	-	-	[01/Aug/2017:08:53:54	+0300]	GET /soedinenie-derevjannyh-detalej/ HTTP/1.0	301	-	http://life-instyle.com/architectural-design.html	Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; KKman2.0)

Выборка всех подозрительных записей в гугло доке за последний месяц. Можно перейти и взглянуть.

После анализа логов за месяц я сделал такие выводы:

  • 80% 301 переадресаций ведут с 1 моего url. Остальные с нескольких других. Эти свои url я проверил и ничего подозрительного
  • За последние 30 дней было всего 800+ переадресаций и только 59 уникальных ip использовалось. Т.е. участвуют одни и те же ip.
  • Почти все переадресации идут на морды всяких говносайтов (пример esopini com).
  • В течении секунды в лог пишется 2-3 идентичных записи, как примере в вверху.
  • Почти все user agents - MSIE

Из посторонних на моем сайтике стоит сапка и mainlink, метрика, ga и liveinternet. В метрике эти посетители не учитываются.

Вопрос: что это все означает?

У меня появилась мыслишка пока я тут писал, но хочу узнать ваше мнение господа.

SeVlad
На сайте с 03.11.2008
Offline
1609
SeVlad
#1
Vincent_:
Вопрос: что это все означает?

Возможно дорвей.

Гадать по таким данным можно сколько угодно.

Делаю хорошие сайты хорошим людям. Предпочтение коммерческим направлениям. Связь со мной через http://wp.me/P3YHjQ-3.
Vincent_
На сайте с 24.12.2008
Offline
136
Vincent_
#2
VladimirM:
попробуй полазить по своему сайту с мобильного оператора, имею ввиду через мобильный интернет, может мобильные подписки подрубили тебе

Лазил, все в норме.

ZomBat
На сайте с 08.10.2016
Offline
24
ZomBat
#3

Странный какой-то лог.

Могу попробовать сванговать, у вас 301 редирект с http на https, ну или с "/" на "без /" и указанные url берутся из referer.

Ну и делается это все дабы поднять упоминание своих гс везде и всюду.

в свободное время шаманю над веб-окружением VPS...
Vincent_
На сайте с 24.12.2008
Offline
136
Vincent_
#4
ZomBat:
Странный какой-то лог.

Могу попробовать сванговать, у вас 301 редирект с http на https, ну или с "/" на "без /" и указанные url берутся из referer.

Ну и делается это все дабы поднять упоминание своих гс везде и всюду.

Да ну что вы, зачем такому дохлому сайту https. Его там нет.

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий