Гость
Войти | Профиль | Очистить
Целевая тема:
Создать новую тему:
Автор:
Действия ...
Форумы / Unix-системы [игнор отключен] [закрыт для гостей] / Необычные записи в access.log / 6 сообщений из 6, страница 1 из 1
30.03.2012, 18:27
    #37732087
Riot01
Riot01
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Необычные записи в access.log
Всем привет! Стоит Apache2 + Nginx.
В последнее время начал замечать очень большое количество вот таких вот необычных одинаковых записей в nginx.log

Код: html
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
178.165.13.145 - - [30/Mar/2012:17:39:03 +0400] "$MyNick 77777775555555|$Lock EXTENDEDPROTOCOLABCABCABCABCABCABC Pk=DCPLUSPLUS0.75ABCABC|" 400 173 "-" "-"
178.165.13.145 - - [30/Mar/2012:17:39:03 +0400] "$MyNick 77777775555555|$Lock EXTENDEDPROTOCOLABCABCABCABCABCABC Pk=DCPLUSPLUS0.75ABCABC|" 400 173 "-" "-"
178.150.150.194 - - [30/Mar/2012:17:39:03 +0400] "$MyNick Dima82|$Lock EXTENDEDPROTOCOLABCABCABCABCABCABC Pk=DCPLUSPLUS0.699ABCABC|" 400 173 "-" "-"
178.150.150.194 - - [30/Mar/2012:17:39:03 +0400] "$MyNick Dima82|$Lock EXTENDEDPROTOCOLABCABCABCABCABCABC Pk=DCPLUSPLUS0.699ABCABC|" 400 173 "-" "-"
77.120.173.219 - - [30/Mar/2012:17:39:03 +0400] "$MyNick a299|$Lock EXTENDEDPROTOCOLABCABCABCABCABCABC Pk=DCPLUSPLUS0.699ABCABC|" 400 173 "-" "-"
77.120.173.219 - - [30/Mar/2012:17:39:03 +0400] "$MyNick a299|$Lock EXTENDEDPROTOCOLABCABCABCABCABCABC Pk=DCPLUSPLUS0.699ABCABC|" 400 173 "-" "-"
109.87.129.62 - - [30/Mar/2012:17:39:03 +0400] "$MyNick aaaaaфф|$Lock EXTENDEDPROTOCOLABCABCABCABCABCABC Pk=DCPLUSPLUS0.699ABCABC|" 400 173 "-" "-"
109.87.129.62 - - [30/Mar/2012:17:39:03 +0400] "$MyNick aaaaaфф|$Lock EXTENDEDPROTOCOLABCABCABCABCABCABC Pk=DCPLUSPLUS0.699ABCABC|" 400 173 "-" "-"
109.87.6.184 - - [30/Mar/2012:17:39:03 +0400] "$MyNick 9th_Wonder|$Lock EXTENDEDPROTOCOLABCABCABCABCABCABC Pk=DCPLUSPLUS0.698ABCABC|" 400 173 "-" "-"
46.48.26.225 - - [30/Mar/2012:17:39:44 +0400] "$MyNick fredon|$Lock EXTENDEDPROTOCOLABCABCABCABCABCABC Pk=DCPLUSPLUS0.699ABCABC|" 400 173 "-" "-"
46.48.26.225 - - [30/Mar/2012:17:39:44 +0400] "$MyNick fredon|$Lock EXTENDEDPROTOCOLABCABCABCABCABCABC Pk=DCPLUSPLUS0.699ABCABC|" 400 173 "-" "-"
178.218.101.19 - - [30/Mar/2012:17:39:44 +0400] "$MyNick Nerevar|$Lock EXTENDEDPROTOCOLABCABCABCABCABCABC Pk=DCPLUSPLUS0.699ABCABC|" 400 173 "-" "-"
193.106.63.108 - - [30/Mar/2012:17:39:44 +0400] "$MyNick fgjhjhhh|$Lock EXTENDEDPROTOCOLABCABCABCABCABCABC Pk=DCPLUSPLUS0.699ABCABC|" 400 173 "-" "-"
193.106.63.108 - - [30/Mar/2012:17:39:44 +0400] "$MyNick fgjhjhhh|$Lock EXTENDEDPROTOCOLABCABCABCABCABCABC Pk=DCPLUSPLUS0.699ABCABC|" 400 173 "-" "-"
178.218.101.19 - - [30/Mar/2012:17:39:44 +0400] "$MyNick Nerevar|$Lock EXTENDEDPROTOCOLABCABCABCABCABCABC Pk=DCPLUSPLUS0.699ABCABC|" 400 173 "-" "-"
178.150.111.142 - - [30/Mar/2012:17:39:44 +0400] "$MyNick rfghdfgh|$Lock EXTENDEDPROTOCOLABCABCABCABCABCABC Pk=DCPLUSPLUS0.699ABCABC|" 400 173 "-" "-"
178.150.111.142 - - [30/Mar/2012:17:39:44 +0400] "$MyNick rfghdfgh|$Lock EXTENDEDPROTOCOLABCABCABCABCABCABC Pk=DCPLUSPLUS0.699ABCABC|" 400 173 "-" "-"
213.164.111.155 - - [30/Mar/2012:17:39:44 +0400] "$MyNick Arnoldzik|$Lock EXTENDEDPROTOCOLABCABCABCABCABCABC Pk=DCPLUSPLUS0.674ABCABC|" 400 173 "-" "-"
213.164.111.155 - - [30/Mar/2012:17:39:44 +0400] "$MyNick Arnoldzik|$Lock EXTENDEDPROTOCOLABCABCABCABCABCABC Pk=DCPLUSPLUS0.674ABCABC|" 400 173 "-" "-"



Я точно уверен, что это не пользователи моего сайта, а какой-нибудь злоумышленник. Как можно заблокировать подобные зловредные запросы на мой сайт?
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
30.03.2012, 18:53
    #37732124
netwind
netwind
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Необычные записи в access.log
Riot01, похоже на протокол DC+. Никто не может запретить чужим клиентам подключаться на неправильный порт, если они захотят.
Может быть это сканирование портов чужими руками так сделано. Много разных протоколов позволяют делать подобные вещи неочевидным образом.
p2p-клиент на этом сервере есть? может он неправильно настроен и где-то анонсирует 80 порт?
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
30.03.2012, 19:53
    #37732197
Riot01
Riot01
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Необычные записи в access.log
Нет. Мой сервер исключительно используется для пользования сайтом, никакие сторонние приложение я нем не установлены. Нагрузка на сервер во время "атаки" существенно возрастает, это однозначно дело рук злоумышленника.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
30.03.2012, 19:57
    #37732201
netwind
netwind
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Необычные записи в access.log
Riot01, ну есть какие-то невнятные слухи, что кто-то использует p2p-клиентов в качестве генераторов трафика для ddos, но действительно ли вы кому-то там нужны?
Эти запросы до апача доходят? nginx должен легко их фильтровать раз они неправильные.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
31.03.2012, 00:09
    #37732453
Riot01
Riot01
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Необычные записи в access.log
Сайт не выключается, так как nginx правда их фильтрует. А как же фильтровать такие запросы, если они идут не на веб сервер, а на ssh?
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
31.03.2012, 00:47
    #37732484
netwind
netwind
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Необычные записи в access.log
Riot01, да никак. Можно перевесить ssh на секретный порт и открыть его для небольшого диапазона IP.
Есть еще port knocking, который позволяет какие угодно порты надежно скрыть, но это из области черной магии.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
Форумы / Unix-системы [игнор отключен] [закрыт для гостей] / Необычные записи в access.log / 6 сообщений из 6, страница 1 из 1
Найденые пользователи ...
Разблокировать пользователей ...
Читали тему (0):
Читали форум (0):
Пользователи онлайн (0):
x
x
Закрыть


Просмотр
0 / 0
Close
Debug Console [Select Text]