Tráfego incomum no meu servidor, pedindo myinfo.any-request-allowed.com

Navegue suas respostas
1

Rodando o apache em um servidor Debian, comecei a monitorar os logs e encontrei algumas ocorrências estranhas. Alguém sabe o que este site any-request-allowed.com está tentando fazer ... e como posso bloquear esse tráfego potencialmente malicioso?

Logs higienizados: 

[46.161.11.245] - [13/Apr/2011:13:02:09 -0700] | api.goolertech.com "POST http://myinfo.any-request-allowed.com/?strGet=get2566 HTTP/1.1" 404 294 | -
[46.161.11.245] - [15/Apr/2011:13:02:53 -0700] | api.goolertech.com "POST http://myinfo.any-request-allowed.com/?strGet=get8888 HTTP/1.1" 404 294 | -
[46.161.11.245] - [17/Apr/2011:13:05:04 -0700] | api.goolertech.com "POST http://myinfo.any-request-allowed.com/?strGet=get9659 HTTP/1.1" 404 294 | -

Onde 404 é o código de erro e 294 é o tamanho da resposta.

EDITAR:

Fiz uma captura de pacotes e este foi o pedido que recebi: 

POST http://myinfo.any-request-allowed.com/?strGet=get2566 HTTP/1.1
Host: myinfo.any-request-allowed.com
Pragma: no-cache
Accept: */*
Proxy-Connection: Keep-Alive
Cookie: strCookie=cookie2566
Content-Length: 16
Content-Type: application/x-www-form-urlencoded

strPost=post2566
    
por Ryan Gooler 20.04.2011 / 19:21

2 respostas

5

Isso parece com o ruído de fundo da Internet. Um host desonesto ou comprometido é provavelmente a varredura de porta para servidores da Web abertos e, em seguida, os testa para ver se eles transmitem um POST para um site de terceiros. Seu servidor está naturalmente infectando a solicitação. Provavelmente não é direcionado a você e as chances são de que isso pare em breve.

Dito isso, o tempo é incomumente regular para esse tipo de tráfego, portanto, se ele não parar, a origem da solicitação será 46.161.11.245 . Se você bloquear alguma coisa, bloqueie esse host no firewall. (via iptables)

    
por 20.04.2011 / 19:34
0

Você pode usar o iptables para bloquear este pedido. Essa é uma solicitação de postagem, portanto, não tenho certeza de quais dados estão sendo enviados com ela. Pode tentar executar o tcpdump para obter essa informação.

    
por 20.04.2011 / 19:33

Tags

Como as permissões do GlusterFS funcionam no Linux? MySQL no Debian: “Verificando tabelas corrompidas, não fechadas de forma clara e precisando de atualização ..”