логи сервера(вопрос)

Тема в разделе "Администрирование серверов", создана пользователем MilkeyWay, 12 май 2012.

Модераторы: mefish, stooper
  1. MilkeyWay

    MilkeyWay Постоялец

    Регистр.:
    11 июл 2011
    Сообщения:
    104
    Симпатии:
    8
    Привет всем,в администрировании серверов я нубик,по-этому решил обратиться к вам за помощью,в логах сервера наткнулся на такую запись,может кто просвятить-втф?

    82.149.xx.xxx - - [12/May/2012:16:04:51 +0400] "r\xe9\x96L(\x19\xfb4\xb7\xdd\xf5\xd7\xd7R\x1eW\xb8,\x1e\x1a" 200 17040 "-" "-"

    ps это гугловские следы...?
     
  2. DrakonHaSh

    DrakonHaSh

    Регистр.:
    29 июн 2010
    Сообщения:
    358
    Симпатии:
    122
    либо какое-то чудо обратилось на ваш сервак с запросом
    r\xe9\x96L(\x19\xfb4\xb7\xdd\xf5\xd7\xd7R\x1eW\xb8,\x1e\x1a
    вместо нормального, по типу
    GET / HTTP/1.1
    и получило в ответ код 200 (все ок) и 17040 байт данных (что очень странно - не должен быть код ответа 200 на хрен пойми какой запрос)

    либо какой-то чудак хакнул вам сервак и в логах ради прикола поменял реальные запросы на эту хрень :)

    уверен что нет :)
     
  3. MilkeyWay

    MilkeyWay Постоялец

    Регистр.:
    11 июл 2011
    Сообщения:
    104
    Симпатии:
    8
    хм,интересно.
    нашел еще такие записи,чуть ранее по времени,вышеуказанного запроса

    176.215.ххх.хх - - [12/May/2012:15:44:44 +0400] "-" 408 0 "-" "-"
    189.220.ххх.хх - - [12/May/2012:15:45:11 +0400] "i\x80\x98\x1dKw\xe66T\x86a\xc3\x1f\x9f\xa2\xde\xceO\x02\xc8\xd5V\xdd[\xa0\x02\x10l\xec+\xbdL\xe9\xb5\xc7\xa9\x1f@q\xa0\xf0K*E\xb0\xc6\x1b\xfffW\xf9#\vl\xb8\x1c\xc61" 400 301 "-" "-"

    как бы этот запрос расшифровать? :(
     
  4. devotum

    devotum Создатель

    Регистр.:
    20 апр 2012
    Сообщения:
    21
    Симпатии:
    1
    а мне эти каракули напоминают, когда на freebsd с установленным изначально по дефалту английским языком, в файле какие-то комментарии написаны на русском, а русского языка в системе нет. может это оно?
     
  5. MilkeyWay

    MilkeyWay Постоялец

    Регистр.:
    11 июл 2011
    Сообщения:
    104
    Симпатии:
    8
    а фиг его знает,серв стоит на убунте,присутствуют русский и английский,что подозрительно-сайт закрыт от индексации,т.е все на стадии разработки,кто о нем узнал хз,айпишники разные в запросах,поспрашиваю еще в тп цмс,мб там чем тоже помогут
     
  6. devotum

    devotum Создатель

    Регистр.:
    20 апр 2012
    Сообщения:
    21
    Симпатии:
    1
    ну, из моего опыта владения freebsd с белым айпи, даже без апача и других прелестей - могу сказать уверенно:
    китайцы находят новый айпи и начинают его брутить по 22 порту буквально за неделю, может меньше.
    мой скрипт кидает в бан айпишник с которого пытались брутить)) могу выслать список, если там есть твой подозреваемый айпи - значит обычные мегакулхацкеры)
     
  7. MilkeyWay

    MilkeyWay Постоялец

    Регистр.:
    11 июл 2011
    Сообщения:
    104
    Симпатии:
    8
    было бы не плохо,попытка-не пытка :)

    посоветовали выполнить: cat log.txt | iconv -f utf-16be | less

    перекодировало в иероглфы,получается и впрямь ребята из китая...только все же остается загадкой-к какому файлу было обращение,что сервер ответил 200
     
  8. sarros

    sarros Создатель

    Регистр.:
    28 дек 2007
    Сообщения:
    32
    Симпатии:
    6
    Китайские брутеры - явление частое и многочисленное. Чаще всего они долбятся в 22 порт. Чтобы меньше было мусора в логах, лучше поставить фаервол, который закрывает порты, оставляя открытыми только самые необходимые. Потому что будут постоянные попытки перебора портов.