Ropinak nézik a gépem?

Hálózatok egyéb

Üdv !

Ilyen "dolgokat" találok több napja a log-ok között router szerű gépemen.
(Ezen a gépen próbálgatjuk kölkeim és én "pán ostoba" mindent.... )

Meglepő módon ő "207.182.98.19" szinte minden másnap végignézi a szokott listáját. Gondolom valami robot próbálkozhat.
Van valami védekezési mód (eszköz) az ilyen "körülnézés" ellen?

Amit még nem láttam , mindjárt az első sorban a "xc8_\xa8\xbc.." sor. Gyanítom valami URL lehet, mert "403"-mat kap. Ebből a "xc8_\xa8\xbc.." van olyan is ami nem fér el csak 4-5 sorban.

Fura, de több éve működik itthon ez a gép és semmi hasonlót nem láttam még, talán a dinamikus IP-net köszönhetem.

Van okom komolyan aggódni? Mit tudok tenni ezen "jelenségek" ellen?
Írjak valami szkriptet ami böngészik a log-ok között és iptables-el DROP-ra teszi őket? ( Ő "207.182.98.19" már ott van.)

Minden jót.

89.133.218.120 - - [14/Nov/2010:19:24:01 +0100] "\xc8_\xa8\xbc\xa8\x8c\xa3(\x04" 403 5043 "-" "-"
207.182.98.19 - - [14/Nov/2010:22:46:07 +0100] "GET /adminmain.php HTTP/1.0" 404 2531 "-" "-"
207.182.98.19 - - [14/Nov/2010:22:46:07 +0100] "GET /admin/pmamain.php HTTP/1.0" 403 4135 "-" "-"
207.182.98.19 - - [14/Nov/2010:22:46:09 +0100] "GET /admin/phpmyadminmain.php HTTP/1.0" 403 4149 "-" "-"
207.182.98.19 - - [14/Nov/2010:22:46:09 +0100] "GET /dbmain.php HTTP/1.0" 404 2531 "-" "-"
207.182.98.19 - - [14/Nov/2010:22:46:10 +0100] "GET /dbadminmain.php HTTP/1.0" 404 2531 "-" "-"
207.182.98.19 - - [14/Nov/2010:22:46:11 +0100] "GET /myadminmain.php HTTP/1.0" 404 2531 "-" "-"
207.182.98.19 - - [14/Nov/2010:22:46:11 +0100] "GET /mysqlmain.php HTTP/1.0" 404 2531 "-" "-"
207.182.98.19 - - [14/Nov/2010:22:46:12 +0100] "GET /mysqladminmain.php HTTP/1.0" 404 2531 "-" "-"
207.182.98.19 - - [14/Nov/2010:22:46:13 +0100] "GET /typo3/phpmyadminmain.php HTTP/1.0" 404 2531 "-" "-"
207.182.98.19 - - [14/Nov/2010:22:46:13 +0100] "GET /phpadminmain.php HTTP/1.0" 404 2531 "-" "-"
207.182.98.19 - - [14/Nov/2010:22:46:14 +0100] "GET /phpmyadminmain.php HTTP/1.0" 404 2531 "-" "-"
207.182.98.19 - - [14/Nov/2010:22:46:18 +0100] "GET /phpmyadmin1main.php HTTP/1.0" 404 2531 "-" "-"
207.182.98.19 - - [14/Nov/2010:22:46:18 +0100] "GET /phpmyadmin2main.php HTTP/1.0" 404 2531 "-" "-"
207.182.98.19 - - [14/Nov/2010:22:46:19 +0100] "GET /p/m/amain.php HTTP/1.0" 404 2531 "-" "-"
207.182.98.19 - - [14/Nov/2010:22:46:20 +0100] "GET /pmamain.php HTTP/1.0" 404 2531 "-" "-"
207.182.98.19 - - [14/Nov/2010:22:46:20 +0100] "GET /portal/search.phpmain.php HTTP/1.0" 404 2531 "-" "-"
207.182.98.19 - - [14/Nov/2010:22:46:21 +0100] "GET /cms/search.phpmain.php HTTP/1.0" 404 2531 "-" "-"
207.182.98.19 - - [14/Nov/2010:22:46:22 +0100] "GET /clan/search.phpmain.php HTTP/1.0" 404 2531 "-" "-"
207.182.98.19 - - [14/Nov/2010:22:46:22 +0100] "GET /site/search.phpmain.php HTTP/1.0" 404 2531 "-" "-"
207.182.98.19 - - [14/Nov/2010:22:46:23 +0100] "GET /seite/search.phpmain.php HTTP/1.0" 404 2531 "-" "-"
207.182.98.19 - - [14/Nov/2010:22:46:26 +0100] "GET /page/search.phpmain.php HTTP/1.0" 404 2531 "-" "-"
207.182.98.19 - - [14/Nov/2010:22:46:27 +0100] "GET /forum/search.phpmain.php HTTP/1.0" 404 2531 "-" "-"
207.182.98.19 - - [14/Nov/2010:22:46:28 +0100] "GET /wbb2/search.phpmain.php HTTP/1.0" 404 2531 "-" "-"
207.182.98.19 - - [14/Nov/2010:22:46:28 +0100] "GET /board/search.phpmain.php HTTP/1.0" 404 2531 "-" "-"
207.182.98.19 - - [14/Nov/2010:22:46:29 +0100] "GET /php/forum/wbb2/search.phpmain.php HTTP/1.0" 404 2531 "-" "-"
207.182.98.19 - - [14/Nov/2010:22:46:30 +0100] "GET /php/forum/search.phpmain.php HTTP/1.0" 404 2531 "-" "-"
207.182.98.19 - - [14/Nov/2010:22:46:30 +0100] "GET /php/wbb2/search.phpmain.php HTTP/1.0" 404 2531 "-" "-"
207.182.98.19 - - [14/Nov/2010:22:46:31 +0100] "GET /portal/search.phpmain.php HTTP/1.0" 404 2531 "-" "-"
62.121.74.92 - - [15/Nov/2010:16:23:56 +0100] "\xbe\x96\xb2\xe8\x12\xdf\xda\xc3\x91\xb5i\xc7|-\t\xe5\xd5\xb7\xc46\xe2\x07M\x8c\xa9\x8e{" 400 302 "-" "-"
85.66.26.231 - - [15/Nov/2010:19:47:34 +0100] ".\xebR\x1d\x86\xf0v<\xd0\xaf\xceE\xdaB\xd1Y^E\x86\xe1z\xd0\x18\x86\xd0\x99F\xba\xc0\x06#e\xd9\xe3\x8a2\xb5\x05\x10\"0\xe0\xd4\xfd\xad\xd8\x98Bs\xec\xc1" 403 5043 "-" "-"
80.179.40.141 - - [16/Nov/2010:06:17:39 +0100] "m\x15L\x85_?
[Sun Nov 14 19:24:01 2010] [error] [client 89.133.218.120] client denied by server configuration: /home/ÉN/public_html/DRUPAL/
[Mon Nov 15 16:23:56 2010] [error] [client 62.121.74.92] Invalid URI in request \xbe\x96\xb2\xe8\x12\xdf\xda\xc3\x91\xb5i\xc7|-\t\xe5\xd5\xb7\xc46\xe2\x07M\x8c\xa9\x8e{
[Mon Nov 15 19:47:34 2010] [error] [client 85.66.26.231] client denied by server configuration: /home/ÉN/public_html/DRUPAL/
[Tue Nov 16 06:17:39 2010] [error] [client 80.179.40.141] client denied by server configuration: /home/ÉN/public_html/DRUPAL/

  • 2331 megtekintés

( peterson v | 2010. 11. 16., k – 09:01 )

Ezekkel a furcsa kódokkal én is találkoztam a logban.
Meg is kérdeztem mi lehet.

De végérvényes megoldást nem találtam.
A te eseteben könnyebb a helyzet, mert csak egy IP csinálja, simán kizárhatod iptablessel. Mivel a forrás Los Angeles, CA, ezért javaslom az egész tartomány kizárását: 207.182.96.0/19, feltéve hogy az otthoni "játszós" gépen nem feltétel a Californiaiak jelenléte ;)

[szerk]: most látom csak, hogy a furcsa kódokat nem is a 207... -es ip küldi. De attól még bannolhatod :)

---
"A megoldásra kell koncentrálni nem a problémára."

( uid_194 | 2010. 11. 16., k – 09:05 )

Feltehetoleg exploitokat keres egy kedves kis zombi. Nem tul intelligens, ezert vissza-vissza jar, hatha azota elszurod a rendszered.

DROP neki es nyugalmad lesz.

( subchee | 2010. 11. 16., k – 09:41 )

Fail2ban

Fail2ban's main function is to block selected IP addresses that may belong to hosts that are trying to breach the system's security. It determines the hosts to be blocked by monitoring log files (e.g. /var/log/pwdfail, /var/log/auth.log, etc.) and bans any host IP that makes too many login attempts or performs any other unwanted action within a time frame defined by the administrator.

( hawk | 2010. 11. 16., k – 09:53 )

A legeccerűbb megoldás egy perl script, ami a megfelelő regexpek-re vizsgálja az apache logot.
Ha egy bizonyos IP cím pedig elér egy bűvös számot az illeszkedő regexpekből akkor DROP minden forgalom legalább 1 napra.

Hasonló scriptet használok és napi 10-15 egyedi IP cím mindíg kikerül.