Титла: Apache - Suspicious Line in Access Log
Публикувано от: d1saster в Dec 19, 2005, 20:20
В аксес лога на апача измежду редовните редове забелязвам някои странни:
61.142.123.225 - - [18/Dec/2005:22:27:03 -0800] "GET http://www.worldandsearch.com/cgi-bin/jud.cgi HTTP/1.0" 404 287
61.142.123.225 - - [19/Dec/2005:00:04:42 -0800] "GET http://www.worldandsearch.com/cgi-bin/jud.cgi HTTP/1.0" 404 287
На пръв поглед не изглеждат странни, но при положение, че тези АйПи адреси не са се докосвали до индекс страницата, а и заявките са към линкове, които не съществуват на моята страница, ми става странно. Според мен става някаква измама. Въпросът ми е има ли място за притеснение и заплахата реална ли е? Благодаря предварителни.
61.142.123.225 - - [18/Dec/2005:22:27:03 -0800] "GET http://www.worldandsearch.com/cgi-bin/jud.cgi HTTP/1.0" 404 287
61.142.123.225 - - [19/Dec/2005:00:04:42 -0800] "GET http://www.worldandsearch.com/cgi-bin/jud.cgi HTTP/1.0" 404 287
На пръв поглед не изглеждат странни, но при положение, че тези АйПи адреси не са се докосвали до индекс страницата, а и заявките са към линкове, които не съществуват на моята страница, ми става странно. Според мен става някаква измама. Въпросът ми е има ли място за притеснение и заплахата реална ли е? Благодаря предварителни.
Титла: Apache - Suspicious Line in Access Log
Публикувано от: vENZi в Dec 20, 2005, 10:01
Tova sa skeneri i tyrsiat dali sluchaino niamash niakoi ot slednite skriptove za da te izgyrbiat 
Spoko , sichko si e v reda na neshtata dokato otgovora ti e 404 
Spoko , sichko si e v reda na neshtata dokato otgovora ti e 404 Титла: Apache - Suspicious Line in Access Log
Публикувано от: в Dec 20, 2005, 11:20
Китайчета (вж по-долу)
От друга страна е необходимо редовно да си правиш анализ на логовете, има достатъчно програмчета за това.
Аз тази цялата мрежа бих я резнал - за какво им е да ти гледат страницата, колкото аз разбирам китайски, толкова и те - български :-)
root@justice:~# whois 61.142.123.225
% [whois.apnic.net node-1]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html
inetnum: 61.140.0.0 - 61.146.255.255
netname: CHINANET-GD
descr: CHINANET Guangdong province network
descr: Data Communication Division
descr: China Telecom
country: CN
admin-c: CH93-AP
tech-c: IC83-AP
mnt-by: APNIC-HM
mnt-lower: MAINT-CHINANET-GD
status: ALLOCATED PORTABLE
changed: hm-changed@apnic.net 20040914
source: APNIC
От друга страна е необходимо редовно да си правиш анализ на логовете, има достатъчно програмчета за това.
Аз тази цялата мрежа бих я резнал - за какво им е да ти гледат страницата, колкото аз разбирам китайски, толкова и те - български :-)
root@justice:~# whois 61.142.123.225
% [whois.apnic.net node-1]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html
inetnum: 61.140.0.0 - 61.146.255.255
netname: CHINANET-GD
descr: CHINANET Guangdong province network
descr: Data Communication Division
descr: China Telecom
country: CN
admin-c: CH93-AP
tech-c: IC83-AP
mnt-by: APNIC-HM
mnt-lower: MAINT-CHINANET-GD
status: ALLOCATED PORTABLE
changed: hm-changed@apnic.net 20040914
source: APNIC
Титла: Apache - Suspicious Line in Access Log
Публикувано от: в Dec 20, 2005, 18:17
Сложи един SNORT+SNORT Rules+SNORT LogAnalyzer
(а ако попрочетеш малко можеш да направиш SNORT-a да взаимодейства с iptables) и проблемите с мониторинга както и голяма част от проблемите със сигурността ти изчезват
Даже има правила за подозрителен трафик - прим. bash команди в ИП пакетите
(а ако попрочетеш малко можеш да направиш SNORT-a да взаимодейства с iptables) и проблемите с мониторинга както и голяма част от проблемите със сигурността ти изчезват
Даже има правила за подозрителен трафик - прим. bash команди в ИП пакетите
Титла: Apache - Suspicious Line in Access Log
Публикувано от: d1saster в Feb 10, 2006, 19:34
А това повод за притеснение ли е:
67.107.120.147 - - [04/Feb/2006:02:13:07 -0800] "GET http://www.intel.com/ HTTP/1.1" 200 8685
И как се подава такъв вид команда към сървъра, след като на никоя страница нямам такава препратка?
67.107.120.147 - - [04/Feb/2006:02:13:07 -0800] "GET http://www.intel.com/ HTTP/1.1" 200 8685
И как се подава такъв вид команда към сървъра, след като на никоя страница нямам такава препратка?
Титла: Apache - Suspicious Line in Access Log
Публикувано от: PhobosK в Feb 10, 2006, 20:36
И в двата случая пробват дали сървъра ти отговаря на прокси заявки (т.е. дали имаш включен mod_proxy и какви са му настройките). Ако случайно си го включил, постарай се да рестриктираш употребата му само до user-и/IP-та за които искаш да е активен. В противен случай освен всичко друго рискуваш сървъра ти да попадне в различни списъци на несигурни/спамващи и т.н. хостове...
Титла: Apache - Suspicious Line in Access Log
Публикувано от: d1saster в Feb 13, 2006, 22:52
В httpd.conf откривам няколко реда включващи прокси:
LoadModule proxy_module libexec/apache/libproxy.so
...
AddModule mod_proxy.c
Коментирах редовете с #, но не знам дали е достатъчно. Предполагам че няма да се осакати сървъра ако е забранено изцяло прокси, но не ми е съвсем ясна функцията. Все пак хоствам моя страница предназначена за приятели със снимки и малко текст, а не някоя корпоративна страница.
Благодаря за разясненията.
LoadModule proxy_module libexec/apache/libproxy.so
...
AddModule mod_proxy.c
Коментирах редовете с #, но не знам дали е достатъчно. Предполагам че няма да се осакати сървъра ако е забранено изцяло прокси, но не ми е съвсем ясна функцията. Все пак хоствам моя страница предназначена за приятели със снимки и малко текст, а не някоя корпоративна страница.
Благодаря за разясненията.