Доброго времени суток. Я владелец небольшого физического сервера и установленного на нем веб сервера (FreeBSD+Apache). По своей неловкости оставил на некоторое время открытым наружу прокси, всвязи с чем попал в базу вируса. Обнаружил это когда канал был 100% забит мусором, загрузка процессора 15-20% и 80% interrupt. Со скрипом зашел под SSH и обнаружил в логах апача гигабайты ссылок на рекламные сайты, аля ib.adnxs.com, ads.mediawhite.com, ads.yahoo.com и множество других. Сервак слабенький, так что по внешним признакам происходящее напоминало ddos. Вопрос решил сажая в баню по IP всех кто ломится через меня на домены не как мой средствами ipfw. за пару дней полторы тысячи IP накапало. Живу счастливо, траффик упал почти до нуля, но остается один вопрос: Я сейчас баню толпы народу, причем ни в чем не виноватых, и напор судя по логам ipfw почти не спадает (спал сразу после бана сильно, но это обуславливалось тем что вирус прежде чем обратится к рекламному сайту, видимо, проверял работоспособность прокси, но с тех пор как я начал банить трафик какой был такой и остался). В общем когда от меня отстанут? есть ли способ дать ответ по ссылкам, дабы знать что прокси сейчас не работает? сейчас отдаю 418 ошибку для простоты анализирования логов, раньше отдавал 403 (forbidden), в течении 5 минут вирус попадет в баню и с этого IP установить подключение на 80,53 порты уже не сможет. Может есть способы выкосить свой IP из списков халявных прокси? Т.к. форум про вирусы, а я столкнулся именно с вирусом, я хотел бы получить информацию про то, как много вирусов проявляют подобное поведение, есть ли способы определить атаке какого именно вируса я подвергся, версию этого вируса и поведение. Зная поведение можно прогнозировать длительность атаки, возможные ответы сервера, которые заставят вирус думать что сервер более не рабочий, что заставит его вычеркнуть мой IP из базы и т.п.
Пример логов apache
210.4.15.97 - - [17/Apr/2014:18:13:56 +0400] "-" 408 -
27.206.237.224 - - [17/Apr/2014:18:14:26 +0400] "GET http://www.baidu.com/ HTTP/1.1" 403 202
198.13.111.246 - - [17/Apr/2014:18:15:41 +0400] "GET http://ib.adnxs.com/tt?id=2249921&cb=[CACHEBUSTER]&referrer=[REFERRER_URL] HTTP/1.0" 403 204
63.141.244.44 - - [17/Apr/2014:18:15:42 +0400] "GET http://u.pub-fit.com/1962.html?s=300x250 HTTP/1.0" 403 211
210.4.15.98 - - [17/Apr/2014:18:15:58 +0400] "CONNECT mxs.mail.ru:25 HTTP/1.0" 403 202
23.249.224.121 - - [17/Apr/2014:18:15:59 +0400] "CONNECT www.google.com:443 HTTP/1.0" 403 202
110.83.9.201 - - [17/Apr/2014:18:16:57 +0400] "GET http://www.baidu.com/ HTTP/1.1" 403 202
112.38.108.15 - - [17/Apr/2014:18:19:25 +0400] "GET http://www.baidu.com/ HTTP/1.1" 403 202
110.76.43.100 - - [17/Apr/2014:18:19:51 +0400] "GET http://www.baidu.com/ HTTP/1.1" 403 202
107.183.21.4 - - [17/Apr/2014:18:22:27 +0400] "GET http://ads.yahoo.com/st?ad_type=ad&ad_size=300x250§ion=4939286&pub_url=${PUB_URL} HTTP/1.0" 403 204
79.164.174.152 - - [17/Apr/2014:18:22:36 +0400] "POST http://m.avito.ru/add HTTP/1.1" 403 205
119.41.70.168 - - [17/Apr/2014:18:23:23 +0400] "GET http://www.baidu.com/ HTTP/1.1" 403 202
103.24.206.51 - - [17/Apr/2014:18:31:37 +0400] "GET http://ti.tradetracker.net/?c=9325&m...3013&r=&t=html HTTP/1.0" 403 202
23.249.224.121 - - [17/Apr/2014:18:32:17 +0400] "CONNECT www.google.com:443 HTTP/1.0" 403 202
96.44.153.131 - - [17/Apr/2014:18:36:04 +0400] "GET http://ads.yahoo.com/st?ad_type=ifra...ection=4631984 HTTP/1.0" 403 204
96.44.153.131 - - [17/Apr/2014:18:36:33 +0400] "GET http://ads.yahoo.com/st?ad_type=ifra...ection=4631984 HTTP/1.0" 403 204
96.44.153.131 - - [17/Apr/2014:18:36:57 +0400] "GET http://ads.yahoo.com/st?ad_type=ifra...ection=3855582 HTTP/1.0" 403 204
96.44.153.131 - - [17/Apr/2014:18:38:33 +0400] "GET http://ads.yahoo.com/st?ad_type=ad&a...ection=3848279 HTTP/1.0" 403 204
96.44.153.131 - - [17/Apr/2014:18:43:34 +0400] "GET http://ads.yahoo.com/st?ad_type=ifra...ection=3855582 HTTP/1.0" 403 204
84.79.171.5 - - [17/Apr/2014:18:43:48 +0400] "GET http://www.messedupshit.com/judgeme/azenv.php HTTP/1.1" 403 219
84.79.171.5 - - [17/Apr/2014:18:43:49 +0400] "GET http://www.messedupshit.com/judgeme/azenv.php HTTP/1.1" 403 219
114.36.168.5 - - [17/Apr/2014:18:48:41 +0400] "CONNECT www.google.com:443 HTTP/1.1" 403 202
125.36.32.53 - - [17/Apr/2014:18:48:45 +0400] "GET http://www.baidu.com/ HTTP/1.1" 403 202
107.183.21.4 - - [17/Apr/2014:18:51:51 +0400] "GET http://ads.yahoo.com/st?ad_type=ad&ad_size=300x250§ion=4939286&pub_url=${PUB_URL} HTTP/1.0" 403 204
113.10.139.117 - - [17/Apr/2014:18:52:30 +0400] "GET http://impit.tradedoubler.com/imp?ty...9334)a(2339497) HTTP/1.0" 403 205
113.10.139.117 - - [17/Apr/2014:18:54:18 +0400] "GET http://ad.zanox.com/ppv/?27689982C1610105047 HTTP/1.0" 403 206
198.13.111.248 - - [17/Apr/2014:18:55:54 +0400] "GET http://ib.adnxs.com/tt?id=2249888&cb=[CACHEBUSTER]&referrer=[REFERRER_URL] HTTP/1.0" 403 204
198.13.111.244 - - [17/Apr/2014:18:55:54 +0400] "GET http://ib.adnxs.com/tt?id=2249921&cb=[CACHEBUSTER]&referrer=[REFERRER_URL] HTTP/1.0" 403 204
198.204.243.4 - - [17/Apr/2014:18:55:55 +0400] "GET http://ads.yahoo.com/st?ad_type=iframe&ad_size=160x600§ion=5295984&pub_url=${PUB_URL} HTTP/1.0" 403 204
173.208.16.245 - - [17/Apr/2014:18:55:55 +0400] "GET http://ib.adnxs.com/tt?id=2183963&cb=[CACHEBUSTER]&referrer=[REFERRER_URL]&pubclick=[INSERT_CLICK_TAG] HTTP/1.0" 403 204
142.91.245.134 - - [17/Apr/2014:18:56:18 +0400] "-" 408 -
23.228.234.117 - - [17/Apr/2014:18:58:51 +0400] "GET http://js.adforgames.com/cd.js HTTP/1.0" 403 207
Скрыть
Пример логов ipfw
Apr 24 14:00:09 emerald kernel: ipfw: 1060 Deny TCP 198.204.243.4:1251 46.32.83.5:80 in via rl0
Apr 24 14:00:09 emerald kernel: ipfw: 1060 Deny TCP 216.144.244.221:3586 46.32.83.5:80 in via rl0
Apr 24 14:00:09 emerald kernel: ipfw: 1061 Deny TCP 198.147.26.48:2462 46.32.83.5:80 in via rl0
Apr 24 14:00:12 emerald kernel: ipfw: 1060 Deny TCP 216.144.244.221:1618 46.32.83.5:80 in via rl0
Apr 24 14:00:12 emerald kernel: ipfw: 1061 Deny TCP 162.211.123.187:2953 46.32.83.5:80 in via rl0
Apr 24 14:00:13 emerald kernel: ipfw: 1061 Deny TCP 198.147.26.48:2462 46.32.83.5:80 in via rl0
Apr 24 14:00:15 emerald kernel: ipfw: 1060 Deny TCP 216.144.244.221:1618 46.32.83.5:80 in via rl0
Apr 24 14:00:15 emerald kernel: ipfw: 1061 Deny TCP 162.211.123.187:2953 46.32.83.5:80 in via rl0
Apr 24 14:00:16 emerald kernel: ipfw: 1061 Deny TCP 198.147.26.40:3403 46.32.83.5:80 in via rl0
Apr 24 14:00:19 emerald kernel: ipfw: 1061 Deny TCP 198.147.26.40:3403 46.32.83.5:80 in via rl0
Apr 24 14:00:21 emerald kernel: ipfw: 1060 Deny TCP 216.144.244.221:1618 46.32.83.5:80 in via rl0
Apr 24 14:00:21 emerald kernel: ipfw: 1061 Deny TCP 198.147.26.48:2462 46.32.83.5:80 in via rl0
Apr 24 14:00:21 emerald kernel: ipfw: 1061 Deny TCP 162.211.123.187:2953 46.32.83.5:80 in via rl0
Apr 24 14:00:22 emerald kernel: ipfw: 1061 Deny TCP 162.211.123.75:1153 46.32.83.5:80 in via rl0
Apr 24 14:00:23 emerald kernel: ipfw: 1061 Deny TCP 188.95.104.14:62040 46.32.83.5:80 in via rl0
Apr 24 14:00:24 emerald kernel: ipfw: 1060 Deny TCP 208.115.240.102:1112 46.32.83.5:80 in via rl0
Apr 24 14:00:25 emerald kernel: ipfw: 1061 Deny TCP 198.147.26.40:3403 46.32.83.5:80 in via rl0
Apr 24 14:00:25 emerald kernel: ipfw: 1061 Deny TCP 162.211.123.75:1153 46.32.83.5:80 in via rl0
Apr 24 14:00:25 emerald kernel: ipfw: 1061 Deny TCP 162.211.123.172:2298 46.32.83.5:80 in via rl0
Apr 24 14:00:26 emerald kernel: ipfw: 1061 Deny TCP 188.95.104.14:62040 46.32.83.5:80 in via rl0
Apr 24 14:00:27 emerald kernel: ipfw: 1060 Deny TCP 208.115.240.102:1112 46.32.83.5:80 in via rl0
Apr 24 14:00:28 emerald kernel: ipfw: 1061 Deny TCP 162.211.123.172:2298 46.32.83.5:80 in via rl0
Apr 24 14:00:31 emerald kernel: ipfw: 1060 Deny TCP 173.234.247.23:1565 46.32.83.5:80 in via rl0
Apr 24 14:00:31 emerald kernel: ipfw: 1061 Deny TCP 162.211.123.75:1153 46.32.83.5:80 in via rl0
Apr 24 14:00:32 emerald kernel: ipfw: 1061 Deny TCP 188.95.104.14:62040 46.32.83.5:80 in via rl0
Apr 24 14:00:33 emerald kernel: ipfw: 1060 Deny TCP 216.245.221.14:1600 46.32.83.5:80 in via rl0
Apr 24 14:00:34 emerald kernel: ipfw: 1060 Deny TCP 208.115.240.102:1112 46.32.83.5:80 in via rl0
Apr 24 14:00:34 emerald kernel: ipfw: 1060 Deny TCP 173.234.247.23:1565 46.32.83.5:80 in via rl0
Apr 24 14:00:35 emerald kernel: ipfw: 1061 Deny TCP 162.211.123.172:2298 46.32.83.5:80 in via rl0
Apr 24 14:00:35 emerald kernel: ipfw: 1061 Deny TCP 162.211.123.177:4357 46.32.83.5:80 in via rl0
Скрыть