Справочник функций

Ваш аккаунт

Войти через: 
Забыли пароль?
Регистрация
Информацию о новых материалах можно получать и без регистрации:

Почтовая рассылка

Подписчиков: -1
Последний выпуск: 19.06.2015

О пользе двух мониторов или «атака» в полтора года

256
27 января 2011 года
foxweb
1.0K / / 27.07.2005
Намедни поставили мне два новеньких монитора для работы. Причём, изначально я просил всего лишь добавить ещё один старый бесхозный и убогую видеокарту к нему (руководствуясь принципом «проси мало — уходи быстро»).

На втором мониторе я повесил SSH-консоль напрямую с нашего веб-сервера и запустил в ней отображение запросов к сайту в реальном времени. Сижу так, в одном мониторе по сайтам лазаю, а на другом одним глазом невольно вижу всё происходящее на сайте, только в виде этакой «матрицы» из строчек запросов. Вижу многабуков — представляю действия пользователей. Да да, я сам раньше думал, что в фильме «Матрица» невозможно представлять себе реальный мир, наблюдая иероглифы, а теперь вот сам так делаю :) Короче, с самых первых минут начал замечать странные запросы. Они были длиннее обычных и состояли из какой-то херни. Ну, думаю, ладно. Мало ли всякой нечисти в инете бродит. Главное, сайт работает — админ спит. Сегодня присмотрелся — запросы одинаковые. Повторяются, то есть. С периодом 10-15 секунд. Решил вычислить хулиганов. Лучше бы я этого не делал.

Оказалось, вот чего. Данная «атака» на наш сайт ведётся с момента установки сервера в стойку! Случилось это в далёком 2009 году, о чём гласит первая строчка в логах:

 
Код:
Processing MainController#unrecognized (for 91.197.104.66 at 2009-06-04 15:08:12) [GET]


Ну и далее, заканчивая:

 
Код:
Processing MainController#unrecognized (for 91.197.104.66 at 2011-01-27 18:24:06) [POST]


Итого: 90777 запросов за полтора года.

Кому интересен весь фарш, просьба проследовать сюда: https://gist.github.com/798727
Ну и в качестве бонуса — данные хулиганов: https://gist.github.com/798735 Сочи!

Это я к чему? Это я к тому, что с двумя хорошими мониторами лучше, чем с одним хреновым :)

Админов и спецов по безопасности хотелось бы попросить прокомментировать — что это за херня такая и от чего такое бывает?
245
27 января 2011 года
~ArchimeD~
1.4K / / 24.07.2006
мне думается, попытки внедрить шеллкод через известные уязвимости.
сам периодически ловлю нечто вроде
 
Код:
91.146.56.188 - - [25/Sep/2010:10:19:29 +0400] "\xae\x14\xd7w\x92\xb37\x87\xeb\x15\x82N\xa2lv\x0c=\xf4cM4a\xb6\x1azvP:;\xfe\x01\xa2\xa5\t\xd4\xba" 400 226 "-" "-"
195.225.145.8 - - [08/Oct/2010:07:13:28 +0400] "\xba\x1f\tO]\x949\x15\xc2#,\x88\xcc\\\xf7#\xfb\xde\xc2S\xc2\x8f\xc0R\x99v/" 400 226 "-" "-"
193.32.20.3 - - [08/Oct/2010:16:50:25 +0400] "j\xd1oi\x07\x04\x97_)\x15\xd8E\xe4\x99\xd2\x81\xf3\xda\xdb/h$\xfa\xed\xd8!@o\xc3\x80\xf3W\x1c[\x17\x81B0" 200 43281 "-" "-"
90.142.179.17 - - [21/Oct/2010:06:48:22 +0400] "\xae\x8d%CkO\xbc\xb7\xd01'qAY\xd4TzHt\xf5\x15" 200 50636 "-" "-"
256
27 января 2011 года
foxweb
1.0K / / 27.07.2005
Цитата: ~ArchimeD~
мне думается, попытки внедрить шеллкод через известные уязвимости.



Тащемта да, но зачем:

1. Долбить с адреса, который легко вычислить?
2. Долбить в течение 1.5 года?
3. Долбить тупыми запросами, которые заведомо ниочём? (сайт на рельсах)

245
27 января 2011 года
~ArchimeD~
1.4K / / 24.07.2006
Цитата: foxweb
Тащемта да, но зачем:

1. Долбить с адреса, который легко вычислить?
2. Долбить в течение 1.5 года?
3. Долбить тупыми запросами, которые заведомо ниочём? (сайт на рельсах)



1. Это может быть просто порутаная машина из ботнета
2. Это боты. Они тупо сканируют интернет в поисках уязвимостей
3. Бот не смотрит что там и как. Он тупо пытается :)

Например, недавная эпидемия с proftpd тоже так и образовалась - боты и порутаные ботами машины сканировали все подряд на наличие уязвимого сервиса на 21 порту.

З.Ы. к тому же никто не сказал, что этот адрес - прямо внешний ip атакующего. Это может быть шлюз провайдера, за которым сидит половина города.

285
27 января 2011 года
Romik
479 / / 24.11.2002
Правда на стороне Архимеда ;-)

P.S.
Два широких монитора всяко кошерно для разработки и администрирования, подтверждаю.
245
27 января 2011 года
~ArchimeD~
1.4K / / 24.07.2006
А так еще кошернее :-D

http://archimed.homeunix.org/wp-content/gallery/work/img0303a.jpg
256
28 января 2011 года
foxweb
1.0K / / 27.07.2005
Цитата: ~ArchimeD~



не открываетсо :(
imageshack, please.

245
28 января 2011 года
~ArchimeD~
1.4K / / 24.07.2006
днс-сервера dyndns видать лежат

http://forum.codenet.ru/album.php?albumid=47&pictureid=188
256
28 января 2011 года
foxweb
1.0K / / 27.07.2005
Цитата: ~ArchimeD~
днс-сервера dyndns видать лежат

http://forum.codenet.ru/album.php?albumid=47&pictureid=188



О, у меня почти такой же уголок :)

Реклама на сайте | Обмен ссылками | Ссылки | Экспорт (RSS) | Контакты
Добавить статью | Добавить исходник | Добавить хостинг-провайдера | Добавить сайт в каталог