Security Lab



Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти  
Форум » Взлом и защита » Web приложения
Страницы: 1
RSS
Странный запрос
 
#1
Это нравится:0Да/0Нет
12.05.2005 08:49:33
Последние 5 дней в логах Web сервера идут множественные запросы с разных IP адресов
w.php?ifc=0
w.php?ifc=1
w.php?ifc=2
w.php?ifc=3

и т.п.
Причем таких запросов ежедневно уже больше 3000, что конечно добавляет немалую посещаемость. и растет с каждным днем.

Может у кого нибуть есть идеи что это может быть? Могу сразу сказать, идут по закладке, а не по ссылке. В реферах только IE.
Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.
 
 
 
#2
Это нравится:0Да/0Нет
12.05.2005 08:54:54
DDoS отпадает. Трафик особо не увеличивается при этом.
Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.
 
 
 
#3
Это нравится:0Да/0Нет
12.05.2005 11:31:58
может кто-то новости передирает каким-то кривым скриптом...
 
 
 
#4
Это нравится:0Да/0Нет
12.05.2005 22:06:04
А что насчёт времени запросов?
 
 
 
#5
Это нравится:0Да/0Нет
12.05.2005 22:06:49
Я имею ввиду интервал
 
 
 
#6
Это нравится:0Да/0Нет
13.05.2005 16:22:39
Цитата
TeckLord пишет:
может кто-то новости передирает каким-то кривым скриптом...
врядли, в этом случае логичней были бы запросы с одного IP адреса. А тут несколько тыщ разных.
Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.
 
 
 
#7
Это нравится:0Да/0Нет
13.05.2005 16:24:06
Цитата
-=SoF=- пишет:
А что насчёт времени запросов?
Закономерности не выявлено. Более-менее равномерно в течение дня. Причем количество запросов растет ежедневно. См. счетчик ракс внизу например - 13.300 человек при средней посещаемости 8500-9500.
Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.
 
 
 
#8
Это нравится:0Да/0Нет
13.05.2005 16:25:51
Вот блин проанализировать бы как нибуть ходят ли эти люди кроме этой страницы на сайте (я кстати сделал простой редирект чтобы 404 ошибку не выдавал). Но анализатор логов которым я пользуюсь не позволяет это делать. А в ручную 200Мб логов в день лень проверять.
Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.
 
 
 
#9
Это нравится:0Да/0Нет
13.05.2005 18:26:21
До какого числа увеличивается
w.php?ifc=0
w.php?ifc=1
w.php?ifc=2
w.php?ifc=3
...
?????????
Есть предположение...
 
 
 
#10
Это нравится:0Да/0Нет
13.05.2005 20:07:03
А ip адреса повторяются?
Или с каждого только 1 запрос?
Может они принадлежат одному и тому же прову?
 
 
 
#11
Это нравится:0Да/0Нет
14.05.2005 09:21:58
А что ты паришься - тебе же наруку - самому накручивать не надо :-)))
 
 
 
#12
Это нравится:0Да/0Нет
14.05.2005 21:23:03
Цитата
offtopic пишет:
А что ты паришься - тебе же наруку - самому накручивать не надо :-)))

Это так ,а когда кол-во запросов вырастет до 100000?
 
 
 
#13
Это нравится:0Да/0Нет
15.05.2005 01:16:17
Наверно надо у других владельцев WWW серверов спросить.. Раз тебя на PHP опрашивают, значит атака ненаправленная.. а значит у других такие же логи.
 
 
 
#14
Это нравится:0Да/0Нет
16.05.2005 18:38:47
у меня нет ни одного подобного запроса.
 
 
 
#15
Это нравится:0Да/0Нет
19.05.2005 17:19:03
НЕ пахнет тут атакой. Просто идут много запросов. Причем w.php?ifc=0 больше всего. с 1 или двойкой по минимому.

IP точно не через прокси. Но много западных.
Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.
 
 
 
#16
Это нравится:0Да/0Нет
18.10.2005 12:23:50
Цитата
Pig killer пишет:
Последние 5 дней в логах Web сервера идут множественные запросы с разных IP адресовw.php?ifc=0w.php?ifc=1w.php?ifc=2w.php?ifc=3

у меня та же фигня - только кроме w.php еще ссылки идут на wres.php
при этом все запросы идут через метод POST, а не через GET

немного покопавшись наткнулся на след неких funwebproducts - похоже это spyware, который и создает эту кучу запросов..

так что это не DDoS атака, а зараженные компы реальных пользователей (преимущественно из USA) создающие чудовищную нагрузку на избранные (интересно кем) сервера со всей мощью американских выделенных линий..
 
 
 
#17
Это нравится:0Да/0Нет
18.10.2005 13:04:42
может криво сконфигурированный ботнет? зомби хотят знать что им дальше делать, а в конфиге управляющим сервером проставлен seclab?
 
 
 
#18
Это нравится:0Да/0Нет
18.10.2005 14:42:20
Цитата
JUmPER пишет:
может криво сконфигурированный ботнет? зомби хотят знать что им дальше делать, а в конфиге управляющим сервером проставлен seclab?
так эти запросы идут не только на seclab..
 
 
 
Страницы: 1
Читают тему