Автор Тема: Apache - Suspicious Line in Access Log  (Прочетена 2712 пъти)

d1saster

  • Напреднали
  • *****
  • Публикации: 182
    • Профил
Apache - Suspicious Line in Access Log
« -: Dec 19, 2005, 20:20 »
В аксес лога на апача измежду редовните редове забелязвам някои странни:

61.142.123.225 - - [18/Dec/2005:22:27:03 -0800] "GET http://www.worldandsearch.com/cgi-bin/jud.cgi HTTP/1.0" 404 287
61.142.123.225 - - [19/Dec/2005:00:04:42 -0800] "GET http://www.worldandsearch.com/cgi-bin/jud.cgi HTTP/1.0" 404 287

На пръв поглед не изглеждат странни, но при положение, че тези АйПи адреси не са се докосвали до индекс страницата, а и заявките са към линкове, които не съществуват на моята страница, ми става странно. Според мен става някаква измама. Въпросът ми е има ли място за притеснение и заплахата реална ли е? Благодаря предварителни.
Активен

vENZi

  • Напреднали
  • *****
  • Публикации: 36
    • Профил
Apache - Suspicious Line in Access Log
« Отговор #1 -: Dec 20, 2005, 10:01 »
Tova sa skeneri i tyrsiat dali sluchaino niamash niakoi ot slednite skriptove za da te izgyrbiat '<img'> Spoko , sichko si e v reda na neshtata dokato otgovora ti e 404 ':p'
Активен

  • Гост
Apache - Suspicious Line in Access Log
« Отговор #2 -: Dec 20, 2005, 11:20 »
Китайчета (вж по-долу)
От друга страна е необходимо редовно да си правиш анализ на логовете, има достатъчно програмчета за това.
Аз тази цялата мрежа бих я резнал - за какво им е да ти гледат страницата, колкото аз разбирам китайски, толкова и те - български :-)

root@justice:~# whois 61.142.123.225
% [whois.apnic.net node-1]
% Whois data copyright terms    http://www.apnic.net/db/dbcopyright.html

inetnum:      61.140.0.0 - 61.146.255.255
netname:      CHINANET-GD
descr:        CHINANET Guangdong province network
descr:        Data Communication Division
descr:        China Telecom
country:      CN
admin-c:      CH93-AP
tech-c:       IC83-AP
mnt-by:       APNIC-HM
mnt-lower:    MAINT-CHINANET-GD
status:       ALLOCATED PORTABLE
changed:      hm-changed@apnic.net 20040914
source:       APNIC
Активен

  • Гост
Apache - Suspicious Line in Access Log
« Отговор #3 -: Dec 20, 2005, 18:17 »
Сложи един SNORT+SNORT Rules+SNORT LogAnalyzer
(а ако попрочетеш малко можеш да направиш SNORT-a да взаимодейства с iptables) и проблемите с мониторинга както и голяма част от проблемите със сигурността ти изчезват '<img'>

Даже има правила за подозрителен трафик - прим. bash команди в ИП пакетите '<img'>
Активен

d1saster

  • Напреднали
  • *****
  • Публикации: 182
    • Профил
Apache - Suspicious Line in Access Log
« Отговор #4 -: Feb 10, 2006, 19:34 »
А това повод за притеснение ли е:

67.107.120.147 - - [04/Feb/2006:02:13:07 -0800] "GET http://www.intel.com/ HTTP/1.1" 200 8685

И как се подава такъв вид команда към сървъра, след като на никоя страница нямам такава препратка?
Активен

PhobosK

  • Напреднали
  • *****
  • Публикации: 282
  • Distribution: Ubuntu, Mandriva, Gentoo, Slackware, Fedora, SuSe
  • Window Manager: KDE, GNOME
    • Профил
    • WWW
Apache - Suspicious Line in Access Log
« Отговор #5 -: Feb 10, 2006, 20:36 »
И в двата случая пробват дали сървъра ти отговаря на прокси заявки (т.е. дали имаш включен mod_proxy и какви са му настройките). Ако случайно си го включил, постарай се да рестриктираш употребата му само до user-и/IP-та  за които искаш да е активен. В противен случай освен всичко друго рискуваш сървъра ти да попадне в различни списъци на несигурни/спамващи и т.н. хостове...
Активен

...I could drown in your eyes,
 Die in your arms,
 Live for these moments,
 Here in the dark
 I don't know where I end,
 Not sure where you start,
 When we're body to body...

d1saster

  • Напреднали
  • *****
  • Публикации: 182
    • Профил
Apache - Suspicious Line in Access Log
« Отговор #6 -: Feb 13, 2006, 22:52 »
В httpd.conf откривам няколко реда включващи прокси:

LoadModule proxy_module libexec/apache/libproxy.so
...
AddModule mod_proxy.c

Коментирах редовете с #, но не знам дали е достатъчно. Предполагам че няма да се осакати сървъра ако е забранено изцяло прокси, но не ми е съвсем ясна функцията. Все пак хоствам моя страница предназначена за приятели със снимки и малко текст, а не някоя корпоративна страница.

Благодаря за разясненията.
Активен

Подобни теми
Заглавие Започната от Отговора Прегледи Последна публикация
преводи on-line
Преводи на програми
bbobby 20 15337 Последна публикация Feb 01, 2005, 19:20
от kennedy
POlice line
Хумор
sebastianz55 3 2327 Последна публикация Sep 21, 2004, 21:32
от empty
Apache, virtual host, access проблем
Настройка на програми
ivanatora 7 3764 Последна публикация Apr 06, 2005, 02:16
от
line in upmix
Настройка на хардуер
aylov 0 1206 Последна публикация Apr 13, 2005, 14:06
от aylov
TERM line wrapping
Хардуерни и софтуерни проблеми
Hapkoc 17 4928 Последна публикация Sep 02, 2005, 09:29
от toxigen