Linux за българи: Форуми

Linux секция за начинаещи => Настройка на програми => Темата е започната от: d1saster в Dec 19, 2005, 20:20



Титла: Apache - Suspicious Line in Access Log
Публикувано от: d1saster в Dec 19, 2005, 20:20
В аксес лога на апача измежду редовните редове забелязвам някои странни:

61.142.123.225 - - [18/Dec/2005:22:27:03 -0800] "GET http://www.worldandsearch.com/cgi-bin/jud.cgi HTTP/1.0" 404 287
61.142.123.225 - - [19/Dec/2005:00:04:42 -0800] "GET http://www.worldandsearch.com/cgi-bin/jud.cgi HTTP/1.0" 404 287

На пръв поглед не изглеждат странни, но при положение, че тези АйПи адреси не са се докосвали до индекс страницата, а и заявките са към линкове, които не съществуват на моята страница, ми става странно. Според мен става някаква измама. Въпросът ми е има ли място за притеснение и заплахата реална ли е? Благодаря предварителни.


Титла: Apache - Suspicious Line in Access Log
Публикувано от: vENZi в Dec 20, 2005, 10:01
Tova sa skeneri i tyrsiat dali sluchaino niamash niakoi ot slednite skriptove za da te izgyrbiat :) Spoko , sichko si e v reda na neshtata dokato otgovora ti e 404 :p


Титла: Apache - Suspicious Line in Access Log
Публикувано от: в Dec 20, 2005, 11:20
Китайчета (вж по-долу)
От друга страна е необходимо редовно да си правиш анализ на логовете, има достатъчно програмчета за това.
Аз тази цялата мрежа бих я резнал - за какво им е да ти гледат страницата, колкото аз разбирам китайски, толкова и те - български :-)

root@justice:~# whois 61.142.123.225
% [whois.apnic.net node-1]
% Whois data copyright terms    http://www.apnic.net/db/dbcopyright.html

inetnum:      61.140.0.0 - 61.146.255.255
netname:      CHINANET-GD
descr:        CHINANET Guangdong province network
descr:        Data Communication Division
descr:        China Telecom
country:      CN
admin-c:      CH93-AP
tech-c:       IC83-AP
mnt-by:       APNIC-HM
mnt-lower:    MAINT-CHINANET-GD
status:       ALLOCATED PORTABLE
changed:      hm-changed@apnic.net 20040914
source:       APNIC


Титла: Apache - Suspicious Line in Access Log
Публикувано от: в Dec 20, 2005, 18:17
Сложи един SNORT+SNORT Rules+SNORT LogAnalyzer
(а ако попрочетеш малко можеш да направиш SNORT-a да взаимодейства с iptables) и проблемите с мониторинга както и голяма част от проблемите със сигурността ти изчезват :)

Даже има правила за подозрителен трафик - прим. bash команди в ИП пакетите :)


Титла: Apache - Suspicious Line in Access Log
Публикувано от: d1saster в Feb 10, 2006, 19:34
А това повод за притеснение ли е:

67.107.120.147 - - [04/Feb/2006:02:13:07 -0800] "GET http://www.intel.com/ HTTP/1.1" 200 8685

И как се подава такъв вид команда към сървъра, след като на никоя страница нямам такава препратка?


Титла: Apache - Suspicious Line in Access Log
Публикувано от: PhobosK в Feb 10, 2006, 20:36
И в двата случая пробват дали сървъра ти отговаря на прокси заявки (т.е. дали имаш включен mod_proxy и какви са му настройките). Ако случайно си го включил, постарай се да рестриктираш употребата му само до user-и/IP-та  за които искаш да е активен. В противен случай освен всичко друго рискуваш сървъра ти да попадне в различни списъци на несигурни/спамващи и т.н. хостове...


Титла: Apache - Suspicious Line in Access Log
Публикувано от: d1saster в Feb 13, 2006, 22:52
В httpd.conf откривам няколко реда включващи прокси:

LoadModule proxy_module libexec/apache/libproxy.so
...
AddModule mod_proxy.c

Коментирах редовете с #, но не знам дали е достатъчно. Предполагам че няма да се осакати сървъра ако е забранено изцяло прокси, но не ми е съвсем ясна функцията. Все пак хоствам моя страница предназначена за приятели със снимки и малко текст, а не някоя корпоративна страница.

Благодаря за разясненията.