Acesso estranho de servidores RIPE e outros endereços IP

Question

Acesso estranho de servidores RIPE e outros endereços IP

#1 resposta do (3 votos)
#2 resposta do (3 votos)

1

Olhando para os logs do meu servidor, vejo muita atividade de vários endereços IP. Algo parecido com isto:

69.65.10.86 - - [22/Feb/2012:11:14:40 -0200] "GET http://amate urangelz.com/ HTTP/1.1" 200 69869
69.65.10.86 - - [22/Feb/2012:11:14:45 -0200] "GET http://amat eurangelz.com/tx/out.php?t=exgirlfriendshots.com&l=toplist HTTP/1.1" 301 -
95.211.8.143 - - [22/Feb/2012:11:16:19 -0200] "GET http://porn-ma ture.org/ HTTP/1.1" 200 112102
95.211.8.143 - - [22/Feb/2012:11:16:22 -0200] "GET http://porn- mature.org/streamrotator/out.php?l=0.6.191.10308.0&u=/?search=Verie&facename=tags HTTP/1.1" 302 -
95.211.8.143 - - [22/Feb/2012:11:16:27 -0200] "GET http://porn-m ature.org//?search=Verie&facename=tags/ HTTP/1.1" 200 37943
95.211.8.143 - - [22/Feb/2012:11:16:36 -0200] "GET http://porn- mature.org/cgi-bin/te/o.cgi?id= HTTP/1.1" 302 203
95.211.22.8 - - [22/Feb/2012:11:17:05 -0200] "GET http://www.teens naked.us/cgi-bin/in.cgi?id=628 HTTP/1.1" 302 219
95.211.22.8 - - [22/Feb/2012:11:17:06 -0200] "GET http://www.teens naked.us/index.html?628 HTTP/1.1" 200 64907
95.211.22.8 - - [22/Feb/2012:11:17:16 -0200] "GET http://www.teensna ked.us/cgi-bin/out.cgi?ses=1YH2IQasTU&id=1472&url=http%3a%2f%2fwww.teens-porno.net%2fteenpornforum%2f HTTP/1.1" 302 221
95.211.15.136 - - [22/Feb/2012:11:17:36 -0200] "GET http://gogous enett.com/ HTTP/1.1" 200 13794
95.211.15.136 - - [22/Feb/2012:11:17:44 -0200] "GET http://go gousenett.com/category/nonude/ HTTP/1.1" 200 11858
95.211.8.143 - - [22/Feb/2012:11:22:16 -0200] "GET http://www.milfc utees.com/?ref=moms-area.net HTTP/1.1" 200 47961
95.211.8.143 - - [22/Feb/2012:11:22:16 -0200] "GET http://www.milfc utees.com/dtr/count.php?gr=1 HTTP/1.1" 200 -

(Eu insiro espaços aleatórios em URLs para despejar qualquer tipo de inundação ..., e isso é apenas uma pequena parte do log ...)

Com um whois simples para alguns desses endereços IP, descubro que esses endereços IP são do RIPE NCC. O que é e o que eles estão fazendo com o meu servidor? Isso é estranho.

Eu tenho um servidor Tomcat 7 em execução na porta 4040 e um Apache (LAMP ) em execução na porta 80, fazendo proxy para um aplicativo em execução no Tomcat.

Isso é normal e é o que está acontecendo?

Eu verifiquei o arquivo auth.log e ele tem muitas tentativas de login desses endereços IP. Parece um ataque de força bruta.

A lista de endereços IP:

120.205.8.6
144.16.112.130
163.17.108.2
175.45.42.32
199.15.113.158
210.72.192.56
222.174.35.3

Outra coisa: por muito tempo esse servidor estava rodando apenas o Tomcat. Esses ataques começaram quando eu instalei e executei o XAMPP (LAMP) ..

webserver proxy tomcat

por caarlos0 22.02.2012 / 14:55

2 respostas

3

Para meu entendimento RIPE NCC gerencia todos os endereços IP (na Europa). Então eles não têm culpa.

Parece que esses intervalos de endereços são de propriedade da LeaseWeb (um provedor de hospedagem).

Então, o que está acontecendo é que alguns de seus servidores estão verificando seu servidor da Web em busca de vulnerabilidades ou tentando inserir URLs de alguma forma em seu site (na esperança de que os links acabem no site e gerem ocorrências de referência nesses sites) .

Então, por que os servidores deles estão fazendo isso? Bem, alguém deixou o servidor desprotegido e foi sequestrado. Agora o servidor deles está sendo usado para executar ataques em outros servidores (como o seu).

Você pode enviar e-mail [email protected] para informá-los sobre isso. Eles podem encerrar o acesso à rede para esses servidores, mas o problema persistirá em novos endereços.

por 22.02.2012 / 15:13

Tags webserver proxy tomcat

Extrai substring before = sign usando awk O que faz com que um sistema de arquivos HFS + seja marcado como “sujo”?

score 3 · Accepted Answer

Seu whois foi também simples.

O RIPE NCC é um registro regional da Internet (para a Europa, o Oriente Médio e partes da Ásia Central, de acordo com < href="http://en.wikipedia.org/wiki/RIPE_NCC"> Wikipedia ). Embora esteja listado como proprietário da 95.0.0.0/8 rede por ARIN e outros RIRs, gerencia apenas atribuições de redes menores para outros usuários.

NetRange:       95.0.0.0 - 95.255.255.255
CIDR:           95.0.0.0/8
NetName:        95-RIPE
NetHandle:      NET-95-0-0-0-1
NetType:        Allocated to RIPE NCC
Comment:        These addresses have been further assigned to users in
Comment:        the RIPE NCC region. Contact information can be found in
Comment:        the RIPE database at http://www.ripe.net/whois
RegDate:        2007-07-30
Updated:        2009-05-18
Ref:            http://whois.arin.net/rest/net/NET-95-0-0-0-1

ReferralServer: whois://whois.ripe.net:43

Um cliente WHOIS mais inteligente teria consultado o RIPE NCC automaticamente (usando um arquivo de configuração ou seguindo a referência); outros exigem que você forneça -h whois.ripe.net ou opções semelhantes. E de acordo com o RIPE NCC, 95.211.8.143 pertence ao LeaseWeb :

inetnum:         95.211.21.192 - 95.211.28.63
netname:         LEASEWEB
descr:           LeaseWeb
descr:           P.O. Box 93054
descr:           1090BB AMSTERDAM
descr:           Netherlands
descr:           www.leaseweb.com
remarks:         Please send email to "[email protected]" for complaints
remarks:         regarding portscans, DoS attacks and spam.
country:         NL
admin-c:         LSW1-RIPE
tech-c:          LSW1-RIPE
status:          ASSIGNED PA
mnt-by:          OCOM-MNT