Logs de acesso do Apache estranhos

6

Eu vejo solicitações repetidas como essas nos meus Logs de acesso do Apache e eles estão comendo toda a minha CPU.

Eu tenho uma instalação normal do WordPress. Tudo o que mudei na Configuração do Apache foi alterar o DocumentRoot de / var / www / html para / var / www para ambos ssl e a configuração padrão.

Além disso, o arquivo referenciado nas solicitações (updatedll.jpeg) não existe no meu servidor e também não é referenciado no código-fonte atendido por qualquer página do aplicativo da Web.

Isso poderia ser uma ameaça à segurança? O que são estes, na verdade, e o que posso fazer para detê-los?

Eu mudei o endereço IP do meu servidor. Eles ainda continuavam chegando. Significa que alguém está realmente atingindo o nome de domínio e não o endereço IP.

Por que meu servidor envia um 301 para essas solicitações? Não deveria estar enviando um 404? É porque o Wordpress está instalado no meu diretório raiz e o arquivo .htaccess presente para o Wordpress está enviando um redirecionamento 301?

Meus logs de acesso a disco também parecem ter altos picos intermitentemente. Mas ninguém está realmente acessando o site. Não vejo registros de acesso, exceto estes abaixo.

Além disso, vejo que todas as solicitações parecem vir de um dos 5 endereços IP a seguir.

201.4.132.43 - - [05/Jun/2014:07:35:08 -0400] "GET /updatedll.jpg HTTP/1.1" 301 465 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/4.0; BTRS103681; GTB7.5; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; InfoPath.2; OfficeLiveConnector.1.3; OfficeLivePatch.0.0; AskTbATU3/5.15.29.67612; BRI/2)"

187.40.241.48 - - [05/Jun/2014:07:35:08 -0400] "GET /updatedll.jpg HTTP/1.1" 301 465 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; GTB7.5; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)"

186.56.134.132 - - [05/Jun/2014:07:35:10 -0400] "GET /updatedll.jpg HTTP/1.0" 301 428 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"

71.223.252.14 - - [05/Jun/2014:07:35:13 -0400] "GET /updatedll.jpg HTTP/1.1" 301 465 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; BTRS31756; GTB7.5; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; .NET4.0C; .NET4.0E; InfoPath.2)"

85.245.229.167 - - [05/Jun/2014:07:35:14 -0400] "GET /updatedll.jpg HTTP/1.1" 301 465 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/7.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; MAAU; .NET4.0C; BRI/2; .NET4.0E; MAAU)"

UPDATE

Parece haver 32 Endereços IP distintos que parecem estar atingindo meu servidor agora.

Além disso, a saída do comando "ngrep 'GET /updatedll.jpg' porta 80" é fornecida abaixo:

T 75.172.162.70:1616 -> 162.243.34.213:80 [AP]
  GET /updatedll.jpg HTTP/1.1..Accept: */*..Accept-Encoding: gzip, deflate..U
  ser-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; 
  BTRS31756; GTB7.5; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506
  .2152; .NET CLR 3.5.30729; .NET4.0C; .NET4.0E; InfoPath.2)..Connection: Kee
  p-Alive..Host: www.reinventweb.com....                                     
###############
T 85.245.0.83:65166 -> 162.243.34.213:80 [AP]
  GET /updatedll.jpg HTTP/1.1..Accept: */*..UA-CPU: x86..Accept-Encoding: gzi
  p, deflate..User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; 
  GTB7.5; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30; .NET CLR 3.0.04506.648; 
  .NET CLR 3.5.21022)..Host: reinventweb.com..Connection: Keep-Alive....     
######
    
por Kanishk Dudeja 06.06.2014 / 08:00

2 respostas

3

Uma pesquisa no Google pelo nome do arquivo revela algumas cópias do seu arquivo de registro e apenas um outro, que parece ser log de upload de algum serviço. Você deve saber se esse log está relacionado ao seu site, não estou.

Nenhum desses cinco endereços IP aparece nesse log de upload, o que não nos diz muito. Os nomes dos arquivos no log de upload parecem legítimos para mim. Se o conteúdo desses arquivos corresponde aos seus nomes é impossível dizer, sem conhecer o conteúdo.

O que originalmente poderia ter sido em um arquivo chamado updatedll.jpg ? Eu estou supondo que alguém fez um screenshot de como atualizar alguns dll e enviá-lo para um serviço para compartilhá-lo com os outros. O compartilhamento provavelmente não aconteceu em um fórum público, porque eu teria encontrado mais acessos para ele.

Por que alguém acha que o arquivo reside em seu host? Eu não sei. Acho útil incluir \"%{Host}i\" no Apache LogFormat .

Quanto ao código de status, você pode primeiro tentar acessar o nome do arquivo para ver como ele se parece no arquivo de log. Se você obtiver um código de status diferente, algo deve ser diferente entre sua própria solicitação para o arquivo e o deles.

Se você não conseguir descobrir como reproduzir exatamente o mesmo código de status, tente produzir um dump de pacote de tráfego. Você poderia usar algo como tcpdump -pni eth0 -s0 -Uw output.pcap 'host 201.4.132.43 || host 187.40.241.48 || host 186.56.134.132 || host 71.223.252.14 || host 85.245.229.167'

Mais tarde, você pode inspecionar a saída usando o Wireshark para ver exatamente como são as solicitações. Lembre-se de usar uma versão atualizada do Wireshark caso alguém esteja realmente tentando explorar uma vulnerabilidade no Wireshark. Depois de ter visto a solicitação exata, você poderá reproduzir a resposta por meio de um comando telnet.

    
por 08.06.2014 / 09:57
3

Você está redirecionando com base no nome de domínio? Por exemplo, de example.com para www.example.com? Isso pode explicar a resposta do 301.

Se o seu servidor está respondendo com um 301, é provável que isso não esteja causando muito dano. No entanto, alguma página em algum lugar provavelmente tem um link de imagem quebrada. Para rastrear isso, você deve olhar para o cabeçalho Referer nas solicitações recebidas. Você pode registrar Referers do seu servidor da Web, mas é provavelmente mais fácil ver o tráfego diretamente.

Em vez de tcpdump, (que kasperd sugeriu) eu usaria ngrep:

ngrep 'GET /updatedll.jpg' port 80
    
por 10.06.2014 / 16:53