LINUX.ORG.RU

Странные IP-шники в логах.


0

1

Здрасте! Сорь, если не в тот форум, короче история следующая:
У меня Убунта 10.04. На ней стоит апач-2. В нем виртуальный хост scilance.test, на котором я тестирую свой движок для сайта. Так вот. зашел в эррор-лог этого хоста и там, среди привычных ошибок выданных по запросу от 127.0.0.1 наблюдается следующее:

[Mon Jan 31 17:57:43 2011] [error] [client 211.94.188.52] File does not exist: /var/www/scilance.test/public_html/phpmyadmin
[Mon Jan 31 17:57:44 2011] [error] [client 211.94.188.52] File does not exist: /var/www/scilance.test/public_html/phpMyAdmin
[Mon Jan 31 17:57:45 2011] [error] [client 211.94.188.52] File does not exist: /var/www/scilance.test/public_html/pma
[Mon Jan 31 17:57:46 2011] [error] [client 211.94.188.52] File does not exist: /var/www/scilance.test/public_html/dbadmin
[Mon Jan 31 17:57:47 2011] [error] [client 211.94.188.52] File does not exist: /var/www/scilance.test/public_html/myadmin
[Mon Jan 31 17:57:48 2011] [error] [client 211.94.188.52] File does not exist: /var/www/scilance.test/public_html/phppgadmin
[Mon Jan 31 17:57:49 2011] [error] [client 211.94.188.52] File does not exist: /var/www/scilance.test/public_html/PMA
[Mon Jan 31 17:57:50 2011] [error] [client 211.94.188.52] File does not exist: /var/www/scilance.test/public_html/admin
[Mon Jan 31 17:57:52 2011] [error] [client 211.94.188.52] File does not exist: /var/www/scilance.test/public_html/MyAdmin
[Mon Jan 31 22:01:31 2011] [error] [client 188.121.212.47] File does not exist: /var/www/scilance.test/public_html/webdav

Посмотрел, что за IP-шник - прямо на него браузер заходить отказался, гугель выдал некий сайт с инфой по IP-шникам, там утверждают, что это

IP: 211.94.188.52
server location: Beijing in China
ISP: China United Telecommunications Corporation

Дык вот я и думаю - это как вообще такое может быть, чтобы на мой локальный сервер залез какой-то китаец? Внутренний параноик, конечно, стразу же решил, что это какой-то хацкер или червь/троян.

А что знающие люди скажут?

Знающие белки скажут, что это китаец, они постоянно ломятся во все дыры с паролем «мао» и «мао цзэдун».

А еще скажут, что по видимому твой локальный сервер торчит в инет.

kifer ()

У вас апач висит и в инет( а вы и не знали.
Поправьте конфиг апача чтоб он висел на другом порту и/или укажите там где «Allow from all» параметры «Deny from all» и «Allow from 127.0.0.0/255.0.0.0 ::1/128»

adriano32 ★★★ ()

Хостинг на дому.

Deleted ()
Ответ на: комментарий от adriano32

фигассе.. а я думал, чтобы вывеситься в интернет надо в DNS-ах каких-нить региться...
Пасиба, щас исправим!

Bertolomych ()
Ответ на: комментарий от Bertolomych

Доменное имя нужно, чтоб к вам по vasja.ru стучались (преобразование доменного имени в IP), а прямо по IP никто не запрещает к вашему веб-серверу обратится. Более того машине так быстрее выходит.
А узнать что у вас висит апач не составляет труда никому, если вы не предприняли меры.

# nmap -sS -p 80 ABC.DEF.GHI.KLM/NO
где ABC.DEF.GHI.KLM/NO - кусок адресного пространства.

adriano32 ★★★ ()
Ответ на: комментарий от Bertolomych

DNS нужны только для красивых имён. Для остального достаточно иметь свой внешний IP-адрес.

shoewreck ()
Ответ на: комментарий от adriano32

Хм. интересно.. Т.е. они перебирают все ip-шники подряд, чтобы узнать, у кого висит локальный апач в и-нет и не защищен ничем, а потом пытаются найти на нем интерфейс управления БД?

Bertolomych ()
Ответ на: комментарий от Bertolomych

SSH в этом плане интересней. Бот сети не строил, троянов не писал, наверняка не скажу, но как-то так...
The truth is out there

adriano32 ★★★ ()

iptables -I INPUT -i ppp0 -j DROP

anonymous ()
Ответ на: комментарий от Bertolomych

Однако нет!
Странные ip-шники вернулись. =(
Во-первых, когда я дописал

<Directory /var/www>
	AllowOverride None
	Order Deny,Allow
	Deny from all
	Allow from 127.0.0.0/255.0.0.0 ::1/128
</Directory>
- ничего не изменилось. Возможно не туда дописал, но инструкции Allow/deny я нашел только в /etc/apache2/conf.d/security
Потому закрыл в настройках порта - /etc/apache2/ports.conf:
#NameVirtualHost *:80
Listen 127.0.0.1:80
Однако теперь в error.log'е следующее:
[Tue Feb 01 14:43:01 2011] [error] [client 78.32.93.54] client denied by server configuration: /var/www/scilance.test/public_html/webdav
[Tue Feb 01 15:06:49 2011] [error] [client 194.82.121.59] client denied by server configuration: /var/www/scilance.test/public_html/
[Tue Feb 01 16:07:52 2011] [error] [client 93.75.238.25] client denied by server configuration: /var/www/scilance.test/public_html/
Выглядит, конечно, куда более обнадеживающе, однако - все равно.. не аккуратненько. =)

Bertolomych ()

пропиши доступ на 80 порт только для локлхоста в /etc/hosts.allow (man hosts.allow)

outsider ★★ ()
Ответ на: комментарий от val-amart

Конечно. =)
З.Ы.
Китайцы вроде молчат. Похоже, закрыл-таки порт.

Bertolomych ()
Ответ на: комментарий от Bertolomych

если не успели организовать онлайн-магазин или турагенство по поездкам в россию, то похоже что закрыл...)

anonymous ()
Ответ на: комментарий от Bertolomych

проверить несложно
sudo netstat -tpln

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.