Необычные записи в access.log / Unix-системы

ReSQL.ru

Мобильная версия Контакт Правила FAQ Помощь

Гость

Войти | Регистрация | Профиль | Очистить

Новые сообщения | Избранное

Форумы | Пользователи | Статистика | Мод. лог | Поиск

Цитировать

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вложение:

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр

Форумы / Unix-системы [игнор отключен] [закрыт для гостей] / Необычные записи в access.log

6 сообщений из 6, страница 1 из 1

Необычные записи в access.log

#37732087

Riot01

Гость

Всем привет! Стоит Apache2 + Nginx.
В последнее время начал замечать очень большое количество вот таких вот необычных одинаковых записей в nginx.log

Код: html

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.

178.165.13.145 - - [30/Mar/2012:17:39:03 +0400] "$MyNick 77777775555555|$Lock EXTENDEDPROTOCOLABCABCABCABCABCABC Pk=DCPLUSPLUS0.75ABCABC|" 400 173 "-" "-"
178.165.13.145 - - [30/Mar/2012:17:39:03 +0400] "$MyNick 77777775555555|$Lock EXTENDEDPROTOCOLABCABCABCABCABCABC Pk=DCPLUSPLUS0.75ABCABC|" 400 173 "-" "-"
178.150.150.194 - - [30/Mar/2012:17:39:03 +0400] "$MyNick Dima82|$Lock EXTENDEDPROTOCOLABCABCABCABCABCABC Pk=DCPLUSPLUS0.699ABCABC|" 400 173 "-" "-"
178.150.150.194 - - [30/Mar/2012:17:39:03 +0400] "$MyNick Dima82|$Lock EXTENDEDPROTOCOLABCABCABCABCABCABC Pk=DCPLUSPLUS0.699ABCABC|" 400 173 "-" "-"
77.120.173.219 - - [30/Mar/2012:17:39:03 +0400] "$MyNick a299|$Lock EXTENDEDPROTOCOLABCABCABCABCABCABC Pk=DCPLUSPLUS0.699ABCABC|" 400 173 "-" "-"
77.120.173.219 - - [30/Mar/2012:17:39:03 +0400] "$MyNick a299|$Lock EXTENDEDPROTOCOLABCABCABCABCABCABC Pk=DCPLUSPLUS0.699ABCABC|" 400 173 "-" "-"
109.87.129.62 - - [30/Mar/2012:17:39:03 +0400] "$MyNick aaaaaфф|$Lock EXTENDEDPROTOCOLABCABCABCABCABCABC Pk=DCPLUSPLUS0.699ABCABC|" 400 173 "-" "-"
109.87.129.62 - - [30/Mar/2012:17:39:03 +0400] "$MyNick aaaaaфф|$Lock EXTENDEDPROTOCOLABCABCABCABCABCABC Pk=DCPLUSPLUS0.699ABCABC|" 400 173 "-" "-"
109.87.6.184 - - [30/Mar/2012:17:39:03 +0400] "$MyNick 9th_Wonder|$Lock EXTENDEDPROTOCOLABCABCABCABCABCABC Pk=DCPLUSPLUS0.698ABCABC|" 400 173 "-" "-"
46.48.26.225 - - [30/Mar/2012:17:39:44 +0400] "$MyNick fredon|$Lock EXTENDEDPROTOCOLABCABCABCABCABCABC Pk=DCPLUSPLUS0.699ABCABC|" 400 173 "-" "-"
46.48.26.225 - - [30/Mar/2012:17:39:44 +0400] "$MyNick fredon|$Lock EXTENDEDPROTOCOLABCABCABCABCABCABC Pk=DCPLUSPLUS0.699ABCABC|" 400 173 "-" "-"
178.218.101.19 - - [30/Mar/2012:17:39:44 +0400] "$MyNick Nerevar|$Lock EXTENDEDPROTOCOLABCABCABCABCABCABC Pk=DCPLUSPLUS0.699ABCABC|" 400 173 "-" "-"
193.106.63.108 - - [30/Mar/2012:17:39:44 +0400] "$MyNick fgjhjhhh|$Lock EXTENDEDPROTOCOLABCABCABCABCABCABC Pk=DCPLUSPLUS0.699ABCABC|" 400 173 "-" "-"
193.106.63.108 - - [30/Mar/2012:17:39:44 +0400] "$MyNick fgjhjhhh|$Lock EXTENDEDPROTOCOLABCABCABCABCABCABC Pk=DCPLUSPLUS0.699ABCABC|" 400 173 "-" "-"
178.218.101.19 - - [30/Mar/2012:17:39:44 +0400] "$MyNick Nerevar|$Lock EXTENDEDPROTOCOLABCABCABCABCABCABC Pk=DCPLUSPLUS0.699ABCABC|" 400 173 "-" "-"
178.150.111.142 - - [30/Mar/2012:17:39:44 +0400] "$MyNick rfghdfgh|$Lock EXTENDEDPROTOCOLABCABCABCABCABCABC Pk=DCPLUSPLUS0.699ABCABC|" 400 173 "-" "-"
178.150.111.142 - - [30/Mar/2012:17:39:44 +0400] "$MyNick rfghdfgh|$Lock EXTENDEDPROTOCOLABCABCABCABCABCABC Pk=DCPLUSPLUS0.699ABCABC|" 400 173 "-" "-"
213.164.111.155 - - [30/Mar/2012:17:39:44 +0400] "$MyNick Arnoldzik|$Lock EXTENDEDPROTOCOLABCABCABCABCABCABC Pk=DCPLUSPLUS0.674ABCABC|" 400 173 "-" "-"
213.164.111.155 - - [30/Mar/2012:17:39:44 +0400] "$MyNick Arnoldzik|$Lock EXTENDEDPROTOCOLABCABCABCABCABCABC Pk=DCPLUSPLUS0.674ABCABC|" 400 173 "-" "-"

Я точно уверен, что это не пользователи моего сайта, а какой-нибудь злоумышленник. Как можно заблокировать подобные зловредные запросы на мой сайт?

...

Рейтинг:

0 / 0

30.03.2012, 18:27

| Ответить | Цитировать | Написать

Необычные записи в access.log

#37732124

netwind

Участник

Сообщения: 14 195

Рейтинг: 0 / 0

Riot01, похоже на протокол DC+. Никто не может запретить чужим клиентам подключаться на неправильный порт, если они захотят.
Может быть это сканирование портов чужими руками так сделано. Много разных протоколов позволяют делать подобные вещи неочевидным образом.
p2p-клиент на этом сервере есть? может он неправильно настроен и где-то анонсирует 80 порт?

...

Рейтинг:

0 / 0

30.03.2012, 18:53

| Ответить | Цитировать | Написать

Необычные записи в access.log

#37732197

Riot01

Гость

Нет. Мой сервер исключительно используется для пользования сайтом, никакие сторонние приложение я нем не установлены. Нагрузка на сервер во время "атаки" существенно возрастает, это однозначно дело рук злоумышленника.

...

Рейтинг:

0 / 0

30.03.2012, 19:53

| Ответить | Цитировать | Написать

Необычные записи в access.log

#37732201

netwind

Участник

Сообщения: 14 195

Рейтинг: 0 / 0

Riot01, ну есть какие-то невнятные слухи, что кто-то использует p2p-клиентов в качестве генераторов трафика для ddos, но действительно ли вы кому-то там нужны?
Эти запросы до апача доходят? nginx должен легко их фильтровать раз они неправильные.

...

Рейтинг:

0 / 0

30.03.2012, 19:57

| Ответить | Цитировать | Написать

Необычные записи в access.log

#37732453

Riot01

Гость

Сайт не выключается, так как nginx правда их фильтрует. А как же фильтровать такие запросы, если они идут не на веб сервер, а на ssh?

...

Рейтинг:

0 / 0

31.03.2012, 00:09

| Ответить | Цитировать | Написать

Необычные записи в access.log

#37732484

netwind

Участник

Сообщения: 14 195

Рейтинг: 0 / 0

Riot01, да никак. Можно перевесить ssh на секретный порт и открыть его для небольшого диапазона IP.
Есть еще port knocking, который позволяет какие угодно порты надежно скрыть, но это из области черной магии.

...

Рейтинг:

0 / 0

31.03.2012, 00:47

| Ответить | Цитировать | Написать

6 сообщений из 6, страница 1 из 1

Форумы / Unix-системы [игнор отключен] [закрыт для гостей] / Необычные записи в access.log

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?fid=25&msg=37732197&tid=1483643]:	0ms
get settings:	10ms
get forum list:	12ms
check forum access:	3ms
check topic access:	3ms
track hit:	68ms
get topic data:	9ms
get forum data:	2ms
get page messages:	39ms
get tp. blocked users:	1ms
others:	13ms

total:	160ms