LINUX.ORG.RU

Караульный айфонобарбос? Или как назвать такое событие?

 , , ,


0

1

Здравствуйте.

Если кому не лень поделиться опытом в практике наблюдения всевозможных странностей происходящих в интернете, то помогите, пожалуйста, советом.

На абсолютно пустой web-сервер я выложил несколько кинофильмов. Надумал сделать себе простенький кинотеатр. Пока я внимательно и вдумчиво изучал справку по изготовлению кинотеатра на web-сервере начали появляться «заметки» о посещении web-сервера крайне странным гостем.

Выглядят те «заметки» так:

128.72.158.49 - - [29/May/2018:07:57:27 +0300] "GET / HTTP/1.1" 401 195 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 11_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/11.0 Mobile/15E148 Safari/604.
128.72.158.49 - - [29/May/2018:07:57:27 +0300] "GET / HTTP/1.1" 401 195 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 11_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/11.0 Mobile/15E148 Safari/604.
128.72.158.49 - - [29/May/2018:07:57:27 +0300] "GET /apple-touch-icon-120x120-precomposed.png HTTP/1.1" 401 195 "-" "MobileSafari/604.1 CFNetwork/897.15 Darwin/17.5.0"                                            
128.72.158.49 - - [29/May/2018:07:57:27 +0300] "GET /apple-touch-icon-120x120-precomposed.png HTTP/1.1" 401 195 "-" "MobileSafari/604.1 CFNetwork/897.15 Darwin/17.5.0"                                            
128.72.158.49 - - [29/May/2018:07:57:27 +0300] "GET /apple-touch-icon-120x120.png HTTP/1.1" 401 195 "-" "MobileSafari/604.1 CFNetwork/897.15 Darwin/17.5.0"                                                        
128.72.158.49 - - [29/May/2018:07:57:27 +0300] "GET /apple-touch-icon-120x120.png HTTP/1.1" 401 195 "-" "MobileSafari/604.1 CFNetwork/897.15 Darwin/17.5.0"                                                        
128.72.158.49 - - [29/May/2018:07:57:27 +0300] "GET /apple-touch-icon-precomposed.png HTTP/1.1" 401 195 "-" "MobileSafari/604.1 CFNetwork/897.15 Darwin/17.5.0"                                                    
128.72.158.49 - - [29/May/2018:07:57:27 +0300] "GET /apple-touch-icon-precomposed.png HTTP/1.1" 401 195 "-" "MobileSafari/604.1 CFNetwork/897.15 Darwin/17.5.0"                                                    
128.72.158.49 - - [29/May/2018:07:57:27 +0300] "GET /apple-touch-icon.png HTTP/1.1" 401 195 "-" "MobileSafari/604.1 CFNetwork/897.15 Darwin/17.5.0"                                                                
128.72.158.49 - - [29/May/2018:07:57:27 +0300] "GET /apple-touch-icon.png HTTP/1.1" 401 195 "-" "MobileSafari/604.1 CFNetwork/897.15 Darwin/17.5.0"                                                                
128.72.158.49 - - [29/May/2018:07:57:27 +0300] "GET /favicon.ico HTTP/1.1" 401 195 "-" "MobileSafari/604.1 CFNetwork/897.15 Darwin/17.5.0"                                                                         
128.72.158.49 - - [29/May/2018:07:57:27 +0300] "GET /favicon.ico HTTP/1.1" 401 195 "-" "MobileSafari/604.1 CFNetwork/897.15 Darwin/17.5.0"                                                                         
128.72.158.49 - - [29/May/2018:07:57:27 +0300] "GET /apple-touch-icon-120x120-precomposed.png HTTP/1.1" 401 195 "-" "MobileSafari/604.1 CFNetwork/897.15 Darwin/17.5.0"                                            
128.72.158.49 - - [29/May/2018:07:57:27 +0300] "GET /apple-touch-icon-120x120-precomposed.png HTTP/1.1" 401 195 "-" "MobileSafari/604.1 CFNetwork/897.15 Darwin/17.5.0"                                            
128.72.158.49 - - [29/May/2018:07:57:27 +0300] "GET /apple-touch-icon-120x120.png HTTP/1.1" 401 195 "-" "MobileSafari/604.1 CFNetwork/897.15 Darwin/17.5.0"                                                        
128.72.158.49 - - [29/May/2018:07:57:27 +0300] "GET /apple-touch-icon-120x120.png HTTP/1.1" 401 195 "-" "MobileSafari/604.1 CFNetwork/897.15 Darwin/17.5.0"                                                        
128.72.158.49 - - [29/May/2018:07:57:27 +0300] "GET /apple-touch-icon-precomposed.png HTTP/1.1" 401 195 "-" "MobileSafari/604.1 CFNetwork/897.15 Darwin/17.5.0"                                                    
128.72.158.49 - - [29/May/2018:07:57:27 +0300] "GET /apple-touch-icon-precomposed.png HTTP/1.1" 401 195 "-" "MobileSafari/604.1 CFNetwork/897.15 Darwin/17.5.0"                                                    
128.72.158.49 - - [29/May/2018:07:57:27 +0300] "GET /apple-touch-icon.png HTTP/1.1" 401 195 "-" "MobileSafari/604.1 CFNetwork/897.15 Darwin/17.5.0"                                                                
128.72.158.49 - - [29/May/2018:07:57:27 +0300] "GET /apple-touch-icon.png HTTP/1.1" 401 195 "-" "MobileSafari/604.1 CFNetwork/897.15 Darwin/17.5.0"                                                                
128.72.158.49 - - [29/May/2018:07:57:27 +0300] "GET /favicon.ico HTTP/1.1" 401 195 "-" "MobileSafari/604.1 CFNetwork/897.15 Darwin/17.5.0"                                                                         
128.72.158.49 - - [29/May/2018:07:57:27 +0300] "GET /favicon.ico HTTP/1.1" 401 195 "-" "MobileSafari/604.1 CFNetwork/897.15 Darwin/17.5.0"                                                                         

IP-ы меняются. То тебе там Мегафон, то МТС, вот образчик от Билайна.

Запрашивают эти «IP»-ы всегда одно и тоже, что я и привёл в качестве образца во фрагменте выше: картинки png, которых, разумеется, на сервере нет, не было и я их даже не думал такие выкладывать.

Время посещения - каждый час, как солдаты в карауле. Вот если, например, выше приведённый «отпечаток» был почти в восемь утра, то следующий в почти девять. И так уже третьи сутки подряд. web-сервер я включил три дня назад.

Повторяю, web-сервер пустой. Я там обучаюсь linux-у.

Я придумал себе, что это все айфоны такие «отпечатки» делают, но решил проверить. Пошёл на барахолку и купил себе айфон для испытаний. Мои предположения не подтвердились. Лично мой айфон при заходе через сафари «отмечается» не так:

192.168.168.215 - - [30/May/2018:19:42:54 +0300] "GET / HTTP/1.1" 401 195 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 9_0_2 like Mac OS X) AppleWebKit/601.1.46 (KHTML, like Gecko) Version/9.0 Mobile/13A452 Safari/601.1"

Дело не в версии iOS, а в том, что айфон, если я захожу на свой голимый web с помощью safari, не запрашивает никаких картинок.

Я так себе придумал, что чувак, который и днём и ночью посещает мой web-сервер через каждый час, предварительно перевтыкивая симки, делая их от разных операторов сотовой связи, или периодически чередуя разные девайсы исключительно «iPhone; CPU iPhone OS 11_3 like Mac OS X», использует какое-то приложение. Но я не очень-то уверен в своём предположении, опыта у меня ни чуть. Вот и решил спросить.

Что бы это могло такое быть и как? Что за... ерунда?

Всё непонятное пугает до усрачки. И хотя тут мне терять ну абсолютно нечего, но чертовски всё это непонятно. А в силу своей неопытности вменяемого объяснения таким событиям дать не могу, а поэтому очень печален и аппетит пропал.

Народ! Ну, как такое может быть и чем оно такое делается и зачем? Каким приложением для iOS можно отхватить такой же «отпечаток» на web-сервере, как он приведён в приведённом примере? Или это вовсе никакое не приложение iOS, а кто-то так хулиганит. Разве эдак тоже «отхулиганить» можно?

1) НЕ ПЫТАЙТЕСБ ЧТОТ0 N3МЕНИТЬ!

2) ДУМАNT3 ТОЛЬКО О СЕБЕ!

3) РУКИ

4) ДОСМОТ?

людей просмотревших сойдут с ума

БЕЗНОГNМ

По сабжу: во первых в юзерагенте можно написать что угодно. А во вторых походит на ботнет сканящий все подряд.

StReLoK ☆☆ ()

Это боты. И скорее всего это даже не айфоны, а завирусованные вендокомпы. Пытаются определить популярные CMS и потыкать их на предмет известных уязвимостей.

Не обращай на них внимание. Просто не полагайся на «мой домен никто не знает, не буду ставить пароли на админку».

KivApple ★★★★★ ()
Ответ на: комментарий от StReLoK

походит на ботнет сканящий все подряд

Это последний писк моды? Заломать кучу компов, чтоб они сканировали серверы на предмет таких интересных картинок, как apple-touch-icon-120x120-precomposed.png ? Боты у меня были, они ищут всякие setup/install/admin.. Но вот так чтобы картинки... Это уж очень обкуриться надо, как я думаю.

на твоем айпишнике раньше хостидся какой-то сервис. сервис закрылся а клиенты остались

Получается, что предыдущий обучающийся разместил на этом IP-е свой apple-сервис, а про доменные имена он не слышал и научиться не успел, так и остались на айфонах пользователей приложения, обращающиеся непосредственно на адрес? Сегодня поздно преподу звонить. Завтра звякну, поспрашиваю что там было до того, как ко мне попало.

NewbieLinux ()

Гугл: apple-touch-icon

А то, что ломится регулярно, скорее всего следствие того, что на этом айпишнике висел сервер. Ссылка на него осталась в закладках/истории. Вот айфон и пытается для нее «красивую картинку» вытащить.
Ну или там стоял сервер синхронизации, вроде nextcloud-а.

Kuzz ★★★ ()

Я придумал себе, что это все айфоны такие «отпечатки» делают, но решил проверить. Пошёл на барахолку и купил себе айфон для испытаний.
вменяемого объяснения таким событиям дать не могу, а поэтому очень печален и аппетит пропал.

Фигасе у людей неврозы

goingUp ★★★★★ ()
Ответ на: комментарий от goingUp

))) невроз, чтоб ты знал, чувак, характеризуется понижением работоспособности. Ты когда «научные» слова употребляешь, то задумывайся над их смыслом, а то дебил-дебилом обозначился. А я тут и на форум напечатал вопрос, и на барахолку сходил, и благодаря помощи участников форума гуглом обчитался, и препода достал вопросами из истории временно моего сервера. ))) Не подходит такой диагноз. Да, такой «отпечаток» действительно оставляют айфоны. Когда задействуется так называемый «Web Clips». Предыдущий обучающийся на этом серваке себе и (вероятно) друзьям налепил на springboard ссылки. Чего они их не снесли - этого я не знаю, но благодаря сведениям полученным от препода я связался со старым владельцем и всё подтвердилось. Просто забыл чувак снести иконку с рабочего стола своих айфонов и всё. Сделал он для пробы экспериментальные заходы - он. Где-то в полдень закончили мы с ним тестироваться и всё. С тех пор нету ничего. А айфоны сейчас по три-четыре тысячи рублей на развалах. Могу себе позволить.

NewbieLinux ()

Здравствуйте. Недавно тоже сталкивался с таким.

Что бы это могло такое быть и как? Что за... ерунда?

Это специальные картинки для iOS'овских закладок на Home Screen, которые называются Web Clip Icons. Кто-то просто добавил ваш сайт себе на домашний экран как закладку.

Объяснение тут: https://stackoverflow.com/questions/12480497/

Добавьте эти иконки в своё приложение, чтобы пользователи iOS-устройств были удовлетворены. Подробнее см. в документации: https://developer.apple.com/library/content/documentation/AppleApplications/R...

EXL ★★★★★ ()
Последнее исправление: EXL (всего исправлений: 1)