О пользе двух мониторов или «атака» в полтора года
Намедни поставили мне два новеньких монитора для работы. Причём, изначально я просил всего лишь добавить ещё один старый бесхозный и убогую видеокарту к нему (руководствуясь принципом «проси мало — уходи быстро»).
На втором мониторе я повесил SSH-консоль напрямую с нашего веб-сервера и запустил в ней отображение запросов к сайту в реальном времени. Сижу так, в одном мониторе по сайтам лазаю, а на другом одним глазом невольно вижу всё происходящее на сайте, только в виде этакой «матрицы» из строчек запросов. Вижу многабуков — представляю действия пользователей. Да да, я сам раньше думал, что в фильме «Матрица» невозможно представлять себе реальный мир, наблюдая иероглифы, а теперь вот сам так делаю :) Короче, с самых первых минут начал замечать странные запросы. Они были длиннее обычных и состояли из какой-то херни. Ну, думаю, ладно. Мало ли всякой нечисти в инете бродит. Главное, сайт работает — админ спит. Сегодня присмотрелся — запросы одинаковые. Повторяются, то есть. С периодом 10-15 секунд. Решил вычислить хулиганов. Лучше бы я этого не делал.
Оказалось, вот чего. Данная «атака» на наш сайт ведётся с момента установки сервера в стойку! Случилось это в далёком 2009 году, о чём гласит первая строчка в логах:
Ну и далее, заканчивая:
Итого: 90777 запросов за полтора года.
Кому интересен весь фарш, просьба проследовать сюда: https://gist.github.com/798727
Ну и в качестве бонуса — данные хулиганов: https://gist.github.com/798735 Сочи!
Это я к чему? Это я к тому, что с двумя хорошими мониторами лучше, чем с одним хреновым :)
Админов и спецов по безопасности хотелось бы попросить прокомментировать — что это за херня такая и от чего такое бывает?
На втором мониторе я повесил SSH-консоль напрямую с нашего веб-сервера и запустил в ней отображение запросов к сайту в реальном времени. Сижу так, в одном мониторе по сайтам лазаю, а на другом одним глазом невольно вижу всё происходящее на сайте, только в виде этакой «матрицы» из строчек запросов. Вижу многабуков — представляю действия пользователей. Да да, я сам раньше думал, что в фильме «Матрица» невозможно представлять себе реальный мир, наблюдая иероглифы, а теперь вот сам так делаю :) Короче, с самых первых минут начал замечать странные запросы. Они были длиннее обычных и состояли из какой-то херни. Ну, думаю, ладно. Мало ли всякой нечисти в инете бродит. Главное, сайт работает — админ спит. Сегодня присмотрелся — запросы одинаковые. Повторяются, то есть. С периодом 10-15 секунд. Решил вычислить хулиганов. Лучше бы я этого не делал.
Оказалось, вот чего. Данная «атака» на наш сайт ведётся с момента установки сервера в стойку! Случилось это в далёком 2009 году, о чём гласит первая строчка в логах:
Код:
Processing MainController#unrecognized (for 91.197.104.66 at 2009-06-04 15:08:12) [GET]
Ну и далее, заканчивая:
Код:
Processing MainController#unrecognized (for 91.197.104.66 at 2011-01-27 18:24:06) [POST]
Итого: 90777 запросов за полтора года.
Кому интересен весь фарш, просьба проследовать сюда: https://gist.github.com/798727
Ну и в качестве бонуса — данные хулиганов: https://gist.github.com/798735 Сочи!
Это я к чему? Это я к тому, что с двумя хорошими мониторами лучше, чем с одним хреновым :)
Админов и спецов по безопасности хотелось бы попросить прокомментировать — что это за херня такая и от чего такое бывает?
мне думается, попытки внедрить шеллкод через известные уязвимости.
сам периодически ловлю нечто вроде
сам периодически ловлю нечто вроде
Код:
91.146.56.188 - - [25/Sep/2010:10:19:29 +0400] "\xae\x14\xd7w\x92\xb37\x87\xeb\x15\x82N\xa2lv\x0c=\xf4cM4a\xb6\x1azvP:;\xfe\x01\xa2\xa5\t\xd4\xba" 400 226 "-" "-"
195.225.145.8 - - [08/Oct/2010:07:13:28 +0400] "\xba\x1f\tO]\x949\x15\xc2#,\x88\xcc\\\xf7#\xfb\xde\xc2S\xc2\x8f\xc0R\x99v/" 400 226 "-" "-"
193.32.20.3 - - [08/Oct/2010:16:50:25 +0400] "j\xd1oi\x07\x04\x97_)\x15\xd8E\xe4\x99\xd2\x81\xf3\xda\xdb/h$\xfa\xed\xd8!@o\xc3\x80\xf3W\x1c[\x17\x81B0" 200 43281 "-" "-"
90.142.179.17 - - [21/Oct/2010:06:48:22 +0400] "\xae\x8d%CkO\xbc\xb7\xd01'qAY\xd4TzHt\xf5\x15" 200 50636 "-" "-"
195.225.145.8 - - [08/Oct/2010:07:13:28 +0400] "\xba\x1f\tO]\x949\x15\xc2#,\x88\xcc\\\xf7#\xfb\xde\xc2S\xc2\x8f\xc0R\x99v/" 400 226 "-" "-"
193.32.20.3 - - [08/Oct/2010:16:50:25 +0400] "j\xd1oi\x07\x04\x97_)\x15\xd8E\xe4\x99\xd2\x81\xf3\xda\xdb/h$\xfa\xed\xd8!@o\xc3\x80\xf3W\x1c[\x17\x81B0" 200 43281 "-" "-"
90.142.179.17 - - [21/Oct/2010:06:48:22 +0400] "\xae\x8d%CkO\xbc\xb7\xd01'qAY\xd4TzHt\xf5\x15" 200 50636 "-" "-"
Цитата: ~ArchimeD~
мне думается, попытки внедрить шеллкод через известные уязвимости.
Тащемта да, но зачем:
1. Долбить с адреса, который легко вычислить?
2. Долбить в течение 1.5 года?
3. Долбить тупыми запросами, которые заведомо ниочём? (сайт на рельсах)
Цитата: foxweb
Тащемта да, но зачем:
1. Долбить с адреса, который легко вычислить?
2. Долбить в течение 1.5 года?
3. Долбить тупыми запросами, которые заведомо ниочём? (сайт на рельсах)
1. Долбить с адреса, который легко вычислить?
2. Долбить в течение 1.5 года?
3. Долбить тупыми запросами, которые заведомо ниочём? (сайт на рельсах)
1. Это может быть просто порутаная машина из ботнета
2. Это боты. Они тупо сканируют интернет в поисках уязвимостей
3. Бот не смотрит что там и как. Он тупо пытается :)
Например, недавная эпидемия с proftpd тоже так и образовалась - боты и порутаные ботами машины сканировали все подряд на наличие уязвимого сервиса на 21 порту.
З.Ы. к тому же никто не сказал, что этот адрес - прямо внешний ip атакующего. Это может быть шлюз провайдера, за которым сидит половина города.
Правда на стороне Архимеда ;-)
P.S.
Два широких монитора всяко кошерно для разработки и администрирования, подтверждаю.
P.S.
Два широких монитора всяко кошерно для разработки и администрирования, подтверждаю.
Цитата: ~ArchimeD~
не открываетсо :(
imageshack, please.
Цитата: ~ArchimeD~
О, у меня почти такой же уголок :)