За последние 24 часа нас посетили 109642 программиста и 5652 робота. Сейчас ищут 1923 программиста ...

Нехорошие запросы к серверу

Тема в разделе "Прочее", создана пользователем YSandro, 29 мар 2012.

  1. Your

    Your Старожил

    С нами с:
    2 июл 2011
    Сообщения:
    4.068
    Симпатии:
    7
    Да, что вы говорите, а у меня АнтиБанан с предупреждением.
    В отличии от некоторых использую только существующие страницы.
    А если их нет то после неверных 3 попыток и недотыка, Улетает в
    .htaccess:
    #bots_scans_bans
    Deny from ипы
    ...................

    И потом еще и редиректинг на microsoft =)
    Ну это, так=)
    Чтобы было)
     
  2. YSandro

    YSandro Старожил

    С нами с:
    7 апр 2011
    Сообщения:
    2.523
    Симпатии:
    2
    Вот я так же хочу сделать.
     
  3. igordata

    igordata Суперстар
    Команда форума Модератор

    С нами с:
    18 мар 2010
    Сообщения:
    32.333
    Симпатии:
    1.753
    а я невидимую ссылку засунул в главное меню.

    так что там с запросами?
     
  4. YSandro

    YSandro Старожил

    С нами с:
    7 апр 2011
    Сообщения:
    2.523
    Симпатии:
    2
    Не знаю, как изобразить тот же запос.
    Курлом если делать, то будет заголовок GET, а нужно без него просто послать на IP бинарные данные без заголовков.

    Добавлено спустя 13 минут 50 секунд:
    В воскресенье переустановил Апач (2.2.21) и ПХП (5.3.10), логи затёр.
    Из новых логов картина такая же, но не пугающая. На все левые запросы выдаётся либо индексная страница размером 5297 байт, либо код 400 (плохой запрос с синтаксической ошибкой):
    Код (Text):
    1. 42.74.33.167 - - [16/Apr/2012:09:20:37 +0600] "\x99\xf6\x1c\xc9\xdc\xf1\x1a\x88C\x1az,\x91\x11s\x94^m\x91\x80\xea\xedo\xc5~T\xb1\x84\xb0" 200 5297 "-" "-"
    2. 85.234.13.43 - - [16/Apr/2012:18:17:34 +0600] "\xd6\x9c(5-\x89" 200 5297 "-" "-"
    3. 46.161.82.187 - - [17/Apr/2012:01:35:40 +0600] "\x8c\xbdh\xbc\xe3Vi\x96Z\xa6\xb5=\x19U0\xa8\x1a\x1e\x03\x11\x9a)lx[\t\xc1\xc0\x8e\xf5\xa7" 400 226 "-" "-"
     
  5. artoodetoo

    artoodetoo Суперстар
    Команда форума Модератор

    С нами с:
    11 июн 2010
    Сообщения:
    11.125
    Симпатии:
    1.222
    Адрес:
    там-сям
    Попробуй в telnet, он сам "GET " не дописывает
    Код (Text):
    1. telnet mysite.ru 80
    2. \x99\xf6\x1c\xc9\xdc\xf1\x1a\x88C\x1az,\x91\x11s\x94^m\x91\x80\xea\xedo\xc5~T\xb1\x84\xb0
     
  6. YSandro

    YSandro Старожил

    С нами с:
    7 апр 2011
    Сообщения:
    2.523
    Симпатии:
    2
    Telnet экранирует косые, вместо
    Код (Text):
    1. \x8c\xbdh\xbc\xe3Vi\x96Z\xa6\xb5=\x19U0\xa8\x1a\x1e\x03\x11\x9a)lx[\t\xc1\xc0\x8e\xf5\xa7
    в логе выховодится
    Код (Text):
    1. \\x8c\\xbdh\\xbc\\xe3Vi\\x96Z\\xa6\\xb5=\\x19U0\\xa8\\x1a\\x1e\\x03\\x11\\x9a)lx[\\t\\xc1\\xc0\\x8e\\xf5\\xa7
     
  7. artoodetoo

    artoodetoo Суперстар
    Команда форума Модератор

    С нами с:
    11 июн 2010
    Сообщения:
    11.125
    Симпатии:
    1.222
    Адрес:
    там-сям
    а если самому экранировать?
     
  8. igordata

    igordata Суперстар
    Команда форума Модератор

    С нами с:
    18 мар 2010
    Сообщения:
    32.333
    Симпатии:
    1.753
    это заговор машин. они не раскроют своей тайны до Судного Дня.
     
  9. YSandro

    YSandro Старожил

    С нами с:
    7 апр 2011
    Сообщения:
    2.523
    Симпатии:
    2
    если экранировать, то в логе так
    Код (Text):
    1. \\\\x8c\\\\xbdh\\\\xbc\\\\xe3Vi\\\\x96Z\\\\xa6\\\\xb5=\\\\x19U0\\\\xa8\\\\x1a\\\\x1e\\\\x03\\\\x11\\\\x9a)lx[\\\\t\\\\xc1\\\\xc0\\\\x8e\\\\xf5\\\\xa7
    :))
     
  10. igordata

    igordata Суперстар
    Команда форума Модератор

    С нами с:
    18 мар 2010
    Сообщения:
    32.333
    Симпатии:
    1.753
    как же тогда ботам удалось протащить эти запросы? игорь не понял =(
     
  11. YSandro

    YSandro Старожил

    С нами с:
    7 апр 2011
    Сообщения:
    2.523
    Симпатии:
    2
    Дык из программы надо какой-нибудь, не знаю, какой. А то я в терминал вставляю строку, нужно её ещё в бинарный вид приводить. Мне пока не до этого вопроса, чтобы прям искать решение.
     
  12. sobachnik

    sobachnik Старожил

    С нами с:
    20 апр 2007
    Сообщения:
    3.372
    Симпатии:
    13
    Адрес:
    Дмитров, МО
    А если на сокетах запрос делать - там тоже оно само GET допишет? Просто не использовал ни разу...

    Добавлено спустя 15 минут 30 секунд:
    Заглянул в свой access.log на локальном компе, с которого я выхожу в инет только через usb-модем уже на протяжении двух лет. Там нет внешнего IP, на сколько знаю. У скай-линка есть услуга внешний фиксированный IP, но я не заказывал. Так вот заглянул и удивилсо...

    В основном, так конечно нечто такого плана:
    Код (Text):
    1. 127.0.0.1 - - [09/Jan/2012:12:35:38 +0300] "GET /php.php HTTP/1.1" 200 3
    Т.е. я там что-то пишу и тестирую на локалхосте.
    Но также немало вот такой вот непонятной лабуды :)
    Код (Text):
    1. 178.206.158.161 - - [09/Jan/2012:14:16:23 +0300] "OPTIONS / HTTP/1.1" 200 -
    2. 188.123.248.43 - - [09/Jan/2012:12:17:47 +0300] "\xb88m\x9c\\\xd5" 501 295
    3. 203.100.72.16 - - [10/Jan/2012:01:12:19 +0300] "HEAD / HTTP/1.0" 200 -
    4. 92.36.58.46 - - [10/Jan/2012:18:48:06 +0300] "PROPFIND /D$ HTTP/1.1" 405 315
    5. 92.36.58.46 - - [10/Jan/2012:19:16:26 +0300] "PROPFIND /D$ HTTP/1.1" 405 315
    6. 92.36.58.46 - - [10/Jan/2012:19:16:27 +0300] "PROPFIND /D$/%20Games.scr HTTP/1.1" 405 326
    7. 92.36.58.46 - - [10/Jan/2012:19:16:28 +0300] "PROPFIND /D$ HTTP/1.1" 405 315
    И такой лабуды там дофига. Как кто-то с непойми каких IP адресов вообще ко мне через модем попасть умудряется? :) Если у меня вообще нет внешнего IP-адреса :D
    Кажися, igordata был прав, заговор машин...

    Добавлено спустя 1 минуту 14 секунд:
    Наверно, вирусы на компе

    Добавлено спустя 8 минут 28 секунд:
    Спамеры совсем офигели, они свою рекламу даже через access.log админам подсовывают =D
    Код (Text):
    1. 92.240.68.153 - - [31/Jan/2012:01:08:02 +0300] "GET http://bikehugger.com/images/blog/famous_bike_dude.jpg HTTP/1.1" 404 319
    Добавлено спустя 11 минут 45 секунд:
    o_O
    [​IMG]
     
  13. artoodetoo

    artoodetoo Суперстар
    Команда форума Модератор

    С нами с:
    11 июн 2010
    Сообщения:
    11.125
    Симпатии:
    1.222
    Адрес:
    там-сям
    sobachnik, скорее всего ты сам бомбишь свой интерфейс запросами. просто роутинг никакой не прописан и иногда пакеты вместо интерфейса твоей локалки попадают на модем. кстати, твой вебсервер какие порты слушает?
     
  14. iliavlad

    iliavlad Активный пользователь

    С нами с:
    24 янв 2009
    Сообщения:
    1.689
    Симпатии:
    4
    внешний может быть и динамический. и хоть адрес меняется, боты всё равно пробивают все адреса и приходят к тебе.