Показано с 1 по 1 из 1.

Множество запросов с рекламой на засветившийся прокси.

  1. #1
    Junior Member Репутация
    Регистрация
    25.04.2014
    Сообщений
    1
    Вес репутации
    37

    Множество запросов с рекламой на засветившийся прокси.

    Доброго времени суток. Я владелец небольшого физического сервера и установленного на нем веб сервера (FreeBSD+Apache). По своей неловкости оставил на некоторое время открытым наружу прокси, всвязи с чем попал в базу вируса. Обнаружил это когда канал был 100% забит мусором, загрузка процессора 15-20% и 80% interrupt. Со скрипом зашел под SSH и обнаружил в логах апача гигабайты ссылок на рекламные сайты, аля ib.adnxs.com, ads.mediawhite.com, ads.yahoo.com и множество других. Сервак слабенький, так что по внешним признакам происходящее напоминало ddos. Вопрос решил сажая в баню по IP всех кто ломится через меня на домены не как мой средствами ipfw. за пару дней полторы тысячи IP накапало. Живу счастливо, траффик упал почти до нуля, но остается один вопрос: Я сейчас баню толпы народу, причем ни в чем не виноватых, и напор судя по логам ipfw почти не спадает (спал сразу после бана сильно, но это обуславливалось тем что вирус прежде чем обратится к рекламному сайту, видимо, проверял работоспособность прокси, но с тех пор как я начал банить трафик какой был такой и остался). В общем когда от меня отстанут? есть ли способ дать ответ по ссылкам, дабы знать что прокси сейчас не работает? сейчас отдаю 418 ошибку для простоты анализирования логов, раньше отдавал 403 (forbidden), в течении 5 минут вирус попадет в баню и с этого IP установить подключение на 80,53 порты уже не сможет. Может есть способы выкосить свой IP из списков халявных прокси? Т.к. форум про вирусы, а я столкнулся именно с вирусом, я хотел бы получить информацию про то, как много вирусов проявляют подобное поведение, есть ли способы определить атаке какого именно вируса я подвергся, версию этого вируса и поведение. Зная поведение можно прогнозировать длительность атаки, возможные ответы сервера, которые заставят вирус думать что сервер более не рабочий, что заставит его вычеркнуть мой IP из базы и т.п.

    Пример логов apache


    210.4.15.97 - - [17/Apr/2014:18:13:56 +0400] "-" 408 -
    27.206.237.224 - - [17/Apr/2014:18:14:26 +0400] "GET http://www.baidu.com/ HTTP/1.1" 403 202
    198.13.111.246 - - [17/Apr/2014:18:15:41 +0400] "GET http://ib.adnxs.com/tt?id=2249921&cb=[CACHEBUSTER]&referrer=[REFERRER_URL] HTTP/1.0" 403 204
    63.141.244.44 - - [17/Apr/2014:18:15:42 +0400] "GET http://u.pub-fit.com/1962.html?s=300x250 HTTP/1.0" 403 211
    210.4.15.98 - - [17/Apr/2014:18:15:58 +0400] "CONNECT mxs.mail.ru:25 HTTP/1.0" 403 202
    23.249.224.121 - - [17/Apr/2014:18:15:59 +0400] "CONNECT www.google.com:443 HTTP/1.0" 403 202
    110.83.9.201 - - [17/Apr/2014:18:16:57 +0400] "GET http://www.baidu.com/ HTTP/1.1" 403 202
    112.38.108.15 - - [17/Apr/2014:18:19:25 +0400] "GET http://www.baidu.com/ HTTP/1.1" 403 202
    110.76.43.100 - - [17/Apr/2014:18:19:51 +0400] "GET http://www.baidu.com/ HTTP/1.1" 403 202
    107.183.21.4 - - [17/Apr/2014:18:22:27 +0400] "GET http://ads.yahoo.com/st?ad_type=ad&ad_size=300x250&section=4939286&pub_url=${PUB_URL} HTTP/1.0" 403 204
    79.164.174.152 - - [17/Apr/2014:18:22:36 +0400] "POST http://m.avito.ru/add HTTP/1.1" 403 205
    119.41.70.168 - - [17/Apr/2014:18:23:23 +0400] "GET http://www.baidu.com/ HTTP/1.1" 403 202
    103.24.206.51 - - [17/Apr/2014:18:31:37 +0400] "GET http://ti.tradetracker.net/?c=9325&m...3013&r=&t=html HTTP/1.0" 403 202
    23.249.224.121 - - [17/Apr/2014:18:32:17 +0400] "CONNECT www.google.com:443 HTTP/1.0" 403 202
    96.44.153.131 - - [17/Apr/2014:18:36:04 +0400] "GET http://ads.yahoo.com/st?ad_type=ifra...ection=4631984 HTTP/1.0" 403 204
    96.44.153.131 - - [17/Apr/2014:18:36:33 +0400] "GET http://ads.yahoo.com/st?ad_type=ifra...ection=4631984 HTTP/1.0" 403 204
    96.44.153.131 - - [17/Apr/2014:18:36:57 +0400] "GET http://ads.yahoo.com/st?ad_type=ifra...ection=3855582 HTTP/1.0" 403 204
    96.44.153.131 - - [17/Apr/2014:18:38:33 +0400] "GET http://ads.yahoo.com/st?ad_type=ad&a...ection=3848279 HTTP/1.0" 403 204
    96.44.153.131 - - [17/Apr/2014:18:43:34 +0400] "GET http://ads.yahoo.com/st?ad_type=ifra...ection=3855582 HTTP/1.0" 403 204
    84.79.171.5 - - [17/Apr/2014:18:43:48 +0400] "GET http://www.messedupshit.com/judgeme/azenv.php HTTP/1.1" 403 219
    84.79.171.5 - - [17/Apr/2014:18:43:49 +0400] "GET http://www.messedupshit.com/judgeme/azenv.php HTTP/1.1" 403 219
    114.36.168.5 - - [17/Apr/2014:18:48:41 +0400] "CONNECT www.google.com:443 HTTP/1.1" 403 202
    125.36.32.53 - - [17/Apr/2014:18:48:45 +0400] "GET http://www.baidu.com/ HTTP/1.1" 403 202
    107.183.21.4 - - [17/Apr/2014:18:51:51 +0400] "GET http://ads.yahoo.com/st?ad_type=ad&ad_size=300x250&section=4939286&pub_url=${PUB_URL} HTTP/1.0" 403 204
    113.10.139.117 - - [17/Apr/2014:18:52:30 +0400] "GET http://impit.tradedoubler.com/imp?ty...9334)a(2339497) HTTP/1.0" 403 205
    113.10.139.117 - - [17/Apr/2014:18:54:18 +0400] "GET http://ad.zanox.com/ppv/?27689982C1610105047 HTTP/1.0" 403 206
    198.13.111.248 - - [17/Apr/2014:18:55:54 +0400] "GET http://ib.adnxs.com/tt?id=2249888&cb=[CACHEBUSTER]&referrer=[REFERRER_URL] HTTP/1.0" 403 204
    198.13.111.244 - - [17/Apr/2014:18:55:54 +0400] "GET http://ib.adnxs.com/tt?id=2249921&cb=[CACHEBUSTER]&referrer=[REFERRER_URL] HTTP/1.0" 403 204
    198.204.243.4 - - [17/Apr/2014:18:55:55 +0400] "GET http://ads.yahoo.com/st?ad_type=iframe&ad_size=160x600&section=5295984&pub_url=${PUB_URL} HTTP/1.0" 403 204
    173.208.16.245 - - [17/Apr/2014:18:55:55 +0400] "GET http://ib.adnxs.com/tt?id=2183963&cb=[CACHEBUSTER]&referrer=[REFERRER_URL]&pubclick=[INSERT_CLICK_TAG] HTTP/1.0" 403 204
    142.91.245.134 - - [17/Apr/2014:18:56:18 +0400] "-" 408 -
    23.228.234.117 - - [17/Apr/2014:18:58:51 +0400] "GET http://js.adforgames.com/cd.js HTTP/1.0" 403 207
    Скрыть

    Пример логов ipfw


    Apr 24 14:00:09 emerald kernel: ipfw: 1060 Deny TCP 198.204.243.4:1251 46.32.83.5:80 in via rl0
    Apr 24 14:00:09 emerald kernel: ipfw: 1060 Deny TCP 216.144.244.221:3586 46.32.83.5:80 in via rl0
    Apr 24 14:00:09 emerald kernel: ipfw: 1061 Deny TCP 198.147.26.48:2462 46.32.83.5:80 in via rl0
    Apr 24 14:00:12 emerald kernel: ipfw: 1060 Deny TCP 216.144.244.221:1618 46.32.83.5:80 in via rl0
    Apr 24 14:00:12 emerald kernel: ipfw: 1061 Deny TCP 162.211.123.187:2953 46.32.83.5:80 in via rl0
    Apr 24 14:00:13 emerald kernel: ipfw: 1061 Deny TCP 198.147.26.48:2462 46.32.83.5:80 in via rl0
    Apr 24 14:00:15 emerald kernel: ipfw: 1060 Deny TCP 216.144.244.221:1618 46.32.83.5:80 in via rl0
    Apr 24 14:00:15 emerald kernel: ipfw: 1061 Deny TCP 162.211.123.187:2953 46.32.83.5:80 in via rl0
    Apr 24 14:00:16 emerald kernel: ipfw: 1061 Deny TCP 198.147.26.40:3403 46.32.83.5:80 in via rl0
    Apr 24 14:00:19 emerald kernel: ipfw: 1061 Deny TCP 198.147.26.40:3403 46.32.83.5:80 in via rl0
    Apr 24 14:00:21 emerald kernel: ipfw: 1060 Deny TCP 216.144.244.221:1618 46.32.83.5:80 in via rl0
    Apr 24 14:00:21 emerald kernel: ipfw: 1061 Deny TCP 198.147.26.48:2462 46.32.83.5:80 in via rl0
    Apr 24 14:00:21 emerald kernel: ipfw: 1061 Deny TCP 162.211.123.187:2953 46.32.83.5:80 in via rl0
    Apr 24 14:00:22 emerald kernel: ipfw: 1061 Deny TCP 162.211.123.75:1153 46.32.83.5:80 in via rl0
    Apr 24 14:00:23 emerald kernel: ipfw: 1061 Deny TCP 188.95.104.14:62040 46.32.83.5:80 in via rl0
    Apr 24 14:00:24 emerald kernel: ipfw: 1060 Deny TCP 208.115.240.102:1112 46.32.83.5:80 in via rl0
    Apr 24 14:00:25 emerald kernel: ipfw: 1061 Deny TCP 198.147.26.40:3403 46.32.83.5:80 in via rl0
    Apr 24 14:00:25 emerald kernel: ipfw: 1061 Deny TCP 162.211.123.75:1153 46.32.83.5:80 in via rl0
    Apr 24 14:00:25 emerald kernel: ipfw: 1061 Deny TCP 162.211.123.172:2298 46.32.83.5:80 in via rl0
    Apr 24 14:00:26 emerald kernel: ipfw: 1061 Deny TCP 188.95.104.14:62040 46.32.83.5:80 in via rl0
    Apr 24 14:00:27 emerald kernel: ipfw: 1060 Deny TCP 208.115.240.102:1112 46.32.83.5:80 in via rl0
    Apr 24 14:00:28 emerald kernel: ipfw: 1061 Deny TCP 162.211.123.172:2298 46.32.83.5:80 in via rl0
    Apr 24 14:00:31 emerald kernel: ipfw: 1060 Deny TCP 173.234.247.23:1565 46.32.83.5:80 in via rl0
    Apr 24 14:00:31 emerald kernel: ipfw: 1061 Deny TCP 162.211.123.75:1153 46.32.83.5:80 in via rl0
    Apr 24 14:00:32 emerald kernel: ipfw: 1061 Deny TCP 188.95.104.14:62040 46.32.83.5:80 in via rl0
    Apr 24 14:00:33 emerald kernel: ipfw: 1060 Deny TCP 216.245.221.14:1600 46.32.83.5:80 in via rl0
    Apr 24 14:00:34 emerald kernel: ipfw: 1060 Deny TCP 208.115.240.102:1112 46.32.83.5:80 in via rl0
    Apr 24 14:00:34 emerald kernel: ipfw: 1060 Deny TCP 173.234.247.23:1565 46.32.83.5:80 in via rl0
    Apr 24 14:00:35 emerald kernel: ipfw: 1061 Deny TCP 162.211.123.172:2298 46.32.83.5:80 in via rl0
    Apr 24 14:00:35 emerald kernel: ipfw: 1061 Deny TCP 162.211.123.177:4357 46.32.83.5:80 in via rl0
    Скрыть

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

Похожие темы

  1. Гугл обнаружил множество запросов
    От w32stator в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 12.02.2014, 16:21
  2. Ответов: 8
    Последнее сообщение: 14.11.2013, 14:04
  3. Ответов: 1
    Последнее сообщение: 03.05.2013, 14:00
  4. Ответов: 6
    Последнее сообщение: 20.12.2012, 18:13
  5. Перехват DNS запросов
    От romango в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 31.01.2009, 03:17

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01583 seconds with 18 queries