LINUX.ORG.RU

Apache - Неконтролируемый вызов POST (Подозрение на взлом!)

 , ,


0

2

Добрый день На машине установлен WAMP (Apache 2.4.4) С некоторого времени начал наблюдать в логах access.log при старте Apache произвольные вызовы POST

Например

127.0.0.1 - - [20/Jan/2015:07:23:18 +0200] "POST /WOVPIJM/ HTTP/1.1" 404 206
127.0.0.1 - - [20/Jan/2015:07:26:18 +0200] "POST /WOVPIJM/ HTTP/1.1" 404 206
127.0.0.1 - - [20/Jan/2015:21:38:16 +0200] "POST /WOVPIJM/ HTTP/1.1" 404 206
127.0.0.1 - - [22/Jan/2015:11:48:41 +0200] "POST /QBLFBQK/ HTTP/1.1" 404 206
127.0.0.1 - - [22/Jan/2015:11:54:41 +0200] "POST /QBLFBQK/ HTTP/1.1" 404 206

Что это такое?


Подампи трафик, посмотри что тебе шлют.

Как узнаешь, то сам скажешь взлом это или нет.

trofk ★★★
()

127.0.0.1 намекает, что запросы приходят с твоей же машинке. Заводи антивирус. Если линукс - все равно заводи, checkrootkit и rkhunter еще никто не отменял.

anonymous
()

а mod_proxy случаем не используется ?

Через него такие запросы не сложно организовать.

vel ★★★★★
()
Ответ на: комментарий от trofk

Это только при старте Apache
Появилось недавно, раньше не замечал

bunak
() автор топика

Самое интересное то что фраза например /QBLFBQK/ генерится случайным образом. После перезагрузки апачи - набор символом другой.

bunak
() автор топика
Ответ на: комментарий от trofk

Если все это на винде, тогда зачем ты здесь спрашиваешь?

Потому что запрос в гугле «apache форум» - выдает www.linux.org.ru второй ссылкой. Нехилая релевантность :)

bunak
() автор топика
Ответ на: комментарий от bunak

может какой-нибудь виндовский фаервол поставить типа outpost (проверять лень, умеет ли он это, скорей умеет, чем нет) и на направление «исходящий http запрос с 127.0.0.1 на 127.0.0.1» сказать, чтобы визжал и показывал приложение, которое это делает.

stevejobs ★★★★☆
()
Ответ на: комментарий от stevejobs

и потом например окажется, что твой wamp или как его там, таким образом тестирует, что сервер жив, чтобы показать зеленую иконку в трее, например

stevejobs ★★★★☆
()
Ответ на: комментарий от stevejobs

может какой-нибудь виндовский фаервол поставить типа outpost (проверять лень, умеет ли он это, скорей умеет, чем нет) и на направление «исходящий http запрос с 127.0.0.1 на 127.0.0.1» сказать, чтобы визжал и показывал приложение, которое это делает.

Идея супер, пробую

bunak
() автор топика

на windows ставиться wireshark который покажет ЧТО

кроме того в windows также есть netstat (и можно зающать tcpmon) который покажет КТО

Deleted
()

Всем спасибо оказалась все таки вошка почистил от adware и spy, поставил нормальный файервол - и все стало красиво в логах )))

bunak
() автор топика

На машине установлен WAMP

вдоль уже предлагали?

emulek
()
Ответ на: комментарий от bunak

Потому что запрос в гугле «apache форум» - выдает www.linux.org.ru второй ссылкой. Нехилая релевантность :)

потому что нормальные люди ставят LAMP. Погугли, что это такое.

А идиоты ставят WAMP.

Идиоты должны страдать, это их биологическое предназначение по Дарвину.

emulek
()

Такие тысячами каждый день приходят, получают свою 444 и уходят.

anonymous_sama ★★★★★
()
Ответ на: комментарий от emulek

есть, именно благодаря этому там можно в сетевых экранах использовать правила фильтрации трафика по исполняемым файлам или пользователям, в отличи от линуксов

Deleted
()
Последнее исправление: Deleted (всего исправлений: 1)
Ответ на: комментарий от bunak

Всем спасибо оказалась все таки вошка почистил от adware и spy, поставил нормальный файервол - и все стало красиво в логах )))

Типичные будни Windows-админа.

edigaryev ★★★★★
()
Ответ на: комментарий от Deleted

именно благодаря этому там можно в сетевых экранах использовать правила фильтрации трафика по исполняемым файлам или пользователям, в отличи от линуксов

по пользователю iptables из коробки умеет, как и по PID'у.

А по имени файла — идиотизм. Скажи мне, почему вирус не может называться IE.EXE или SYSTEM32.DLL ?

есть

а хрен-ли вы ей не пользуетесь?

emulek
()
Ответ на: комментарий от emulek

А по имени файла — идиотизм

Отчего высказывания у некоторых коррелируют с диагнозом?

а хрен-ли вы ей не пользуетесь?

тому що виндой не пользуюсь

Deleted
()
Ответ на: комментарий от Deleted

Отчего высказывания у некоторых коррелируют с диагнозом?

как-то ты уныло сливаешься, маздайщик.

тому що виндой не пользуюсь

А чем пользуешься? Маком что-ли, или планшетом с ведроидом? Очевидно, что GNU/Linux ты видел исключительно в здешней галерее.

emulek
()
Ответ на: комментарий от emulek

А чем пользуешься?

Троллями на лоре, в профиль зайди.

что GNU/Linux ты видел исключительно в здешней галерее.

и постил его его фейковые скриншоты, деточка.

Deleted
()
Ответ на: комментарий от emulek

осилил VirtualBox поставить

нет, обхожусь docker, а что?

Deleted
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.