Format zapisu w logu jest następujący data i godzina separator || IP separator || adres strony odsyłającej || typ przeglądarki || podstrony przeglądane
Jak widać brakuje www odsyłającego i rodzaju przeglądarki. Co to może być?
W tej właśnie chwili już piąty raz dzisiaj ktoś z IP 66.249.72.243 próbuje podmieniać wartość get w adresie wpisując zamiast:
Dlaczego ktoś wkleja adres który nie działa na tym porcie? Z głupoty?
Sprawdziłem ten adres to jakaś chyba turecka strona studencka: http://193.255.208.32
Witam.
Co do tego IP to zablokuj w firewallu. A coś Ci pokazuje w error.log? Zobacz auth.log czy się przypadkiem nic nie dziej.
Co do tych logów to mi to wygląda na coś takiego jak by wysyłali pakiety TCP na właściwy port ale bez/albo z nieprawidłową dla serwera apache treścią - możliwe, że jakiś kod wykonywalny podsyłają. Najlepiej jak przyłapiesz moment to tcpdump z pełnymi danymi zrzuć to do pliku a potem popatrz jakie treści wysyłają i nagłówki. Ale najprościej daj bana i DROP :-)
Mam serwer w kei.pl i nie mam dostępu do logów oraz nie mogę zablokować w firewalu. Mogę jedynie to ip zablokować z poziomu strony ale to niewiele da bo wejdzie przez proxy.
Napisz mi po krótce jak za pomocą tcpdump złapać te dane do pliku. Jeżeli będę to wiedział to jeszcze dziś wpisze w stronę funkcje wysyłająca sms na mój tel gdy to IP sie pojawi :-D
Mam urlop i dużo czasu więc mogę jutro zapolować na myśliwego :-D
Ale to przecież nic nie da bo tcpdump musiałbym uruchomić z serwera.
Ale najciekawsze jest to że po wpisaniu pierwszego z podejrzanych adresów ip w przeglądarce :shock:
89.161.152.172 - strona szkoły ogólnokształcącej w Warszawie.
80.55.13.94 - strona Urzędu Miasta Ciechanów
62.146.68.104 - hosting AZ.pl
itd.
Prawie na każdym podejrzanym IP jest serwer www. O co chodzi?
Jak to możliwe że w jednej chwili z kilku różnych miejsc (stron www) ktoś wchodzi na moją stronę nie zostawiając śladu. I to kilkadziesiąt wejść w ciągu 2 minut.
Ktoś może to potrafi wyjaśnić?
Może zarażone jakimś syfem i nawet bez wiedzy właścicieli dokonują za ich pomocą ataków?
Adresy dość rozbieżne. Podpadłeś komuś kto miałby korzyści ze zniszczenia Twojej strony?
Z sieci Lan dużo nie zrobią według mnie, a wszystkie te adresy mają sieć wewnętrzną. Chyba że ktoś naprawdę dobry się za to wziął. Zablokuj co się da.
To że widzisz różne adresy IP oznacza że ktoś wykorzystuje do tego jakiś botnet.
Blokowanie pojedynczego adresu mało ci da mówiąc szczerze.
Tutaj przydałaby się jakaś obrona w warstwie aplikacji tak aby odrzucała i blokowała wykonanie złych URL.
Z tego co czytam ktoś po prostu używa jakiegoś Blind XXS albo próbujeznaleźć błąd na Twojej stronie (a może już znalazł). Musisz szybko sprawdzić kod strony, najlepiej zdejmij serwis z internetu żeby nie skompromitowali ci całego serwera i przejrzyj kod strony. Prawdopodobnie masz dziurę w kodzie php, jednym słowem.
Napisałem do kei.pl i poprosiłem o logi serwera. Zablokowałem dostęp do ftp w panelu administratora. Zobaczymy co mi odpowiedzą. Obym nie usłyszał że było jakieś pomyślne logowanie przez FTP z kosmicznego IP.
Przejrzałem jeszcze raz logi strony i okazało się że pierwszy podejrzany wpis pojawił się 2009-06-21 z IP osiedlowej sieci w Warszawie. A tuż przed nim ktoś wszedł na stronę używając systemu Linux. Może to zbieg okoliczności ale raczej nie często na stronię pojawiają się osoby korzystające z Linuksa. Myślę że ten użytkownik Linuksa jest powodem zamieszania. Jego IP to 87.98.233.177.
Dostałem logi ftp i na szczęście wszystko jest dobrze. Logi serwera też widziałem ale wiem z nich tyle co z logów strony.
Może ktoś potrafi powiedzieć coś więcej o atakach tego typu i jak się przed nimi bronić? Banowanie IP w .htacces raczej jest bezużyteczne. Może miał ktoś coś podobnego. Na razie zablokuje na stronie przeglądarki które nie chcą się przedstawić bo nic więcej do głowy mi nie przychodzi?
