Растут эррорлоги в 1.3

[FatCat]

Какая-то тварь лезет нас ломать с разнообразных проксевых айпишников, генеря запросы типа

http://pharm-forum.ru/MSOffice/cltreq.asp

Естественно совершенно, что твари (или тварям) отдается эррорпейдж, форум стоит как стоял.

 

Это пока присказка.

 

А вот сказка:

 

Заглядываю в апачевские эррорлоги, и вижу:

[Thu Mar 15 15:33:08 2007] [error] [client *.*.*.*] File does not exist: /home/userlogin/html/pharm-forum.ru/MSOffice/cltreq.asp
[Thu Mar 15 15:33:08 2007] [error] [client *.*.*.*] File does not exist: /home/userlogin/html/pharm-forum.ru/MSOffice/favicon.ico
[Thu Mar 15 15:33:08 2007] [error] [client *.*.*.*] File does not exist: /home/userlogin/html/pharm-forum.ru/MSOffice/css.php
[Thu Mar 15 15:33:08 2007] [error] [client *.*.*.*] File does not exist: /home/userlogin/html/pharm-forum.ru/MSOffice/style_images/1/logo4.gif
[Thu Mar 15 15:33:08 2007] [error] [client *.*.*.*] File does not exist: /home/userlogin/html/pharm-forum.ru/MSOffice/style_images/1/atb_help.gif
[Thu Mar 15 15:33:08 2007] [error] [client *.*.*.*] File does not exist: /home/userlogin/html/pharm-forum.ru/MSOffice/style_images/1/atb_search.gif
[Thu Mar 15 15:33:08 2007] [error] [client *.*.*.*] File does not exist: /home/userlogin/html/pharm-forum.ru/MSOffice/style_images/1/atb_members.gif
[Thu Mar 15 15:33:08 2007] [error] [client *.*.*.*] File does not exist: /home/userlogin/html/pharm-forum.ru/MSOffice/style_images/1/atb_journal.gif
[Thu Mar 15 15:33:08 2007] [error] [client *.*.*.*] File does not exist: /home/userlogin/html/pharm-forum.ru/MSOffice/style_images/1/atb_calendar.gif
[Thu Mar 15 15:33:08 2007] [error] [client *.*.*.*] File does not exist: /home/userlogin/html/pharm-forum.ru/MSOffice/style_images/1/nav.gif
[Thu Mar 15 15:33:09 2007] [error] [client *.*.*.*] File does not exist: /home/userlogin/html/pharm-forum.ru/MSOffice/style_images/1/nav_m.gif

Эта тупица ищет всю графику не в директории форума, а в запрошенном пути!!!

Не удивительно, что эррорлог пухнет как на дрожжах.

[Arhar]

ну наверно решение - мод реврайт?

[FatCat]

ну наверно решение - мод реврайт?

Чем он мне поможет, не понял?

У меня обращения к несуществующему файлу в несуществующей поддиректории...

[Song]

и чем такое обращение тебя беспокоит?

[FatCat]

и чем такое обращение тебя беспокоит?

Недавно эррорлог за ночь на 10 Мб нарос. А место на диске не резиновое...

 

+ в этой туче ерунды трудно искать, нет ли каких ошибок посерьезней.

 

 

PS: Я потому и запостил в "флейм", а не в "вопросы по 1.Х"

[Arhar]

а что, мод реврайт такого типа(я не особо разбираюсь)

RewriteRule  ^/MSOffice/$				 /index.php  [L]

не поможет избежать роста логов?

[FatCat]

а что, мод реврайт такого типа(я не особо разбираюсь)

RewriteRule  ^/MSOffice/$				 /index.php  [L]

не поможет избежать роста логов?

Если бы эта скотина запрашивала одну директорию. Разные... Или URL-ы пытается инклайдить.

[PALADIN+]

И всё с одного ip? Может и правда какая-то error?

[FatCat]

И всё с одного ip? Может и правда какая-то error?

с разнообразных проксевых айпишников

[PALADIN+]

Просто непонятно почему папка именно MSOffice

И зачем искать в ней картинки?

[PALADIN+]

Кстати у меня сейчас такое же появилось

 

[client 213.221.33.53] File does not exist: /****/_vti_bin/owssvr.dll

client 213.221.33.53] File does not exist: /****/MSOffice/cltreq.asp

[Arhar]

я где-то видел советы по мод ревраюту, так там есть такой совет, ща найду

http://www.wmaster.ru/htaccess/index.htm

Перенаправление посетителя при запросе определенных страниц:

Это уже для всех сетевых вирусов и сканеров. Теперь любой запрос с адресом /_vti_bin будет автоматически перенаправляться на Microsoft:

 

redirect /_vti_bin http://www.microsoft.com

redirect /scripts http://www.microsoft.com

redirect /MSADC http://www.microsoft.com

redirect /c http://www.microsoft.com

redirect /d http://www.microsoft.com

redirect /_mem_bin http://www.microsoft.com

redirect /msadc http://www.microsoft.com

RedirectMatch (.*)\cmd.exe$ http://www.microsoft.com$1

[Milse]

Это просто опять началась подготовка к массовой Ddos атаке на какой нибудь заказанный ресурс. Ищут дырявые и заливают свою гадость. От этого хорошо mod_security выручает. У меня тоже сканят безбожно. И эррорлог сегодня вырос до 3 мегабайт. Обычно он не больше 25 kb. Такая активность в последний раз наблюдалась перед атакой на корневые DNS сервера в прошлый раз. Это ненадолго. Скоро закончится.

[FatCat]

Ладно, вопрос не в том, что делают искатели дырок, вопрос вдвижке форума.

1. Почему он начинает искать в несуществующих директориях не только запрашиваемую страницу, но и весь комплект графики для 404-й страницы?
   
2. В двушках это происходит тоже, или только в 1.3?
   

[Song]

Что значит "Почему он начинает искать"?

 

Ищет (запрашивает) пользователь по урлу. Движок причём?

[FatCat]

Что значит "Почему он начинает искать"?

 

Ищет (запрашивает) пользователь по урлу. Движок причём?

Повторяю:

[Thu Mar 15 15:33:08 2007] [error] [client *.*.*.*] File does not exist: /home/userlogin/html/pharm-forum.ru/MSOffice/cltreq.asp
[skip]
[Thu Mar 15 15:33:08 2007] [error] [client *.*.*.*] File does not exist: /home/userlogin/html/pharm-forum.ru/MSOffice/style_images/1/logo4.gif

Первый запрос сделал какой-то гад, тут все ясно.

Второй запрос файла лого сделал уже движок форума. А какого хрена файла он полез искать в несуществующей директории?

[Song]

Второй запрос файла лого сделал уже движок форума.

С чего ты это решил?

Я могу logo.gif запросить через браузер.

[PALADIN+]

запрос файла лого сделал уже движок форума

Почему? Он же наверняка и сделал запрос к картинкам, отдельно.

 

Можно проверить. Забить такую ссылку и посмотреть будет в еррор-логе только запрос к несуществующей странице от тебя, или ещё и к картинкам.

/у себя сейчас проверить не могу/

В общем что-то не верится что так может быть.

[FatCat]

Второй запрос файла лого сделал уже движок форума.

С чего ты это решил?

Я могу logo.gif запросить через браузер.

С того, что я сам для эксперимента зашел и запросил несуществующую директорию, один раз запросил, и затем посмотрел в эррорлоге - весь комплект графики на 404-ю страницу, 12 запросов под мой айпишник...

[PALADIN+]

Да уж. Странно. Что-то же должно было вызвать эти файлы?

/Я у себя проверил, не заметил такого/

[h8)u]

Может быть, есть список файлов и они по очереди вызываются.

Я бы сделал просто редирект на главную, если ошибка 404.

А в конфиге апача отрубил бы 404-ошибки, если так важно место на диске.

[zeny773]

Аналогичная ситуация.

 

[Sun Apr 08 14:00:56 2007] [error] [client 83.167.112.26] File does not exist: /var/www/vhosts/*forum.ru/httpdocs/_vti_bin
[Sun Apr 08 14:00:56 2007] [error] [client 83.167.112.26] File does not exist: /var/www/vhosts/*forum.ru/httpdocs/MSOffice
[Sun Apr 08 14:01:43 2007] [error] [client 83.167.112.26] File does not exist: /var/www/vhosts/*forum.ru/httpdocs/_vti_bin
[Sun Apr 08 14:01:43 2007] [error] [client 83.167.112.26] File does not exist: /var/www/vhosts/*forum.ru/httpdocs/MSOffice

Сканируються какие-то MSOffice, _vti_bin

с Айпишника 83.167.112.26

Вот Whois:

inetnum: 83.167.112.0 - 83.167.112.255

netname: SW01_NAT_POOL

descr: NAT Pool

country: RU

admin-c: NC1591-RIPE

tech-c: CN331-RIPE

status: ASSIGNED PA

mnt-by: COMTV-MNT

source: RIPE # Filtered

и

remarks: Contact addresses by category:

remarks: Routing: noc@comcor-tv.ru

remarks: Domains/IP delegation: noc@comcor-tv.ru

remarks: SPAM/UCE: abuse@comcor-tv.ru

remarks: Scans/Hacking attempts: noc@comcor-tv.ru

remarks: Mail: postmaster@comcor-tv.ru

Больше всего интерисует, зачем у них подразделение по борьбе с хакинком? Сейчас написал им, жду ответ.

Изменено 8 Апреля 2007 пользователем zeny773

[PALADIN+]

http://www.webmasterworld.com/forum39/3469.htm

 

 

Those are not browsers, they are vulnerability scanner bots/viruses. They don't know you are running Apache before requesting at least one page off your server. They are hunting unpatched IIS servers.

 

 

===

 

/MSOffice/cltreq.asp and /_vti_bin/owssrv.dll

are both a checks by IE discussion bar checking for MS Office server extensions. It is something gets installed by particular version of Microsoft Office with Sharepoint I believe. Nothing to worry about.