Странный доступ с серверов RIPE и других IP-адресов

глядя на мои журналы сервера, я вижу много активности с разных IP-адресов. Что-то вроде этого:

69.65.10.86 - - [22/Feb/2012:11:14:40 -0200] "GET http://amate urangelz.com/ HTTP/1.1" 200 69869
69.65.10.86 - - [22/Feb/2012:11:14:45 -0200] "GET http://amat eurangelz.com/tx/out.php?t=exgirlfriendshots.com&l=toplist HTTP/1.1" 301 -
95.211.8.143 - - [22/Feb/2012:11:16:19 -0200] "GET http://porn-ma ture.org/ HTTP/1.1" 200 112102
95.211.8.143 - - [22/Feb/2012:11:16:22 -0200] "GET http://porn- mature.org/streamrotator/out.php?l=0.6.191.10308.0&u=/?search=Verie&facename=tags HTTP/1.1" 302 -
95.211.8.143 - - [22/Feb/2012:11:16:27 -0200] "GET http://porn-m ature.org//?search=Verie&facename=tags/ HTTP/1.1" 200 37943
95.211.8.143 - - [22/Feb/2012:11:16:36 -0200] "GET http://porn- mature.org/cgi-bin/te/o.cgi?id= HTTP/1.1" 302 203
95.211.22.8 - - [22/Feb/2012:11:17:05 -0200] "GET http://www.teens naked.us/cgi-bin/in.cgi?id=628 HTTP/1.1" 302 219
95.211.22.8 - - [22/Feb/2012:11:17:06 -0200] "GET http://www.teens naked.us/index.html?628 HTTP/1.1" 200 64907
95.211.22.8 - - [22/Feb/2012:11:17:16 -0200] "GET http://www.teensna ked.us/cgi-bin/out.cgi?ses=1YH2IQasTU&id=1472&url=http%3a%2f%2fwww.teens-porno.net%2fteenpornforum%2f HTTP/1.1" 302 221
95.211.15.136 - - [22/Feb/2012:11:17:36 -0200] "GET http://gogous enett.com/ HTTP/1.1" 200 13794
95.211.15.136 - - [22/Feb/2012:11:17:44 -0200] "GET http://go gousenett.com/category/nonude/ HTTP/1.1" 200 11858
95.211.8.143 - - [22/Feb/2012:11:22:16 -0200] "GET http://www.milfc utees.com/?ref=moms-area.net HTTP/1.1" 200 47961
95.211.8.143 - - [22/Feb/2012:11:22:16 -0200] "GET http://www.milfc utees.com/dtr/count.php?gr=1 HTTP/1.1" 200 -

(я вставляю случайные пробелы в URL-адреса, чтобы выселить любой поток..., а это всего лишь небольшая часть бревна...)

простой whois для некоторых из этих IP-адресов я обнаруживаю, что эти IP-адреса от RIPE NCC. Что это такое и что они делают с моим сервером? Это странно.

у меня есть Apache Tomcat 7 сервер работает на порту 4040 и Apache (лампы) сервер, работающий на порту 80, проксирующий к приложению, работающему в Tomcat.

это нормально и что происходит?

Я проверил auth.log файл, и он имеет много попыток входа с этих IP-адресов. Кажется, перебором.

список IP-адресов:

120.205.8.6
144.16.112.130
163.17.108.2
175.45.42.32
199.15.113.158
210.72.192.56
222.174.35.3

другое дело: долгое время на этом сервере работал только Tomcat. Эти атаки начались когда я установил и запустил XAMPP (лампу)..

27
задан fixer1234
01.03.2023 7:17 Количество просмотров материала 3379
Распечатать страницу

2 ответа

код whois был слишком простой.

спелой НКЦ -региональный интернет-реестр (для Европы, Ближнего Востока и части Центральной Азии, согласно Википедия). Несмотря на то, что он указан как владелец 95.0.0.0/8 сеть по ARIN и другим RIR, он только управляет назначениями небольших сетей другим пользователям.

NetRange:       95.0.0.0 - 95.255.255.255
CIDR:           95.0.0.0/8
NetName:        95-RIPE
NetHandle:      NET-95-0-0-0-1
NetType:        Allocated to RIPE NCC
Comment:        These addresses have been further assigned to users in
Comment:        the RIPE NCC region. Contact information can be found in
Comment:        the RIPE database at http://www.ripe.net/whois
RegDate:        2007-07-30
Updated:        2009-05-18
Ref:            http://whois.arin.net/rest/net/NET-95-0-0-0-1

ReferralServer: whois://whois.ripe.net:43

умный WHOIS-клиент запросил бы RIPE NCC автоматически (либо используя конфигурационный файл или следуя рефералу); другие требуют, чтобы вы дали -h whois.ripe.net или подобные варианты. И согласно RIPE NCC,95.211.8.143 принадлежит LeaseWeb:

inetnum:         95.211.21.192 - 95.211.28.63
netname:         LEASEWEB
descr:           LeaseWeb
descr:           P.O. Box 93054
descr:           1090BB AMSTERDAM
descr:           Netherlands
descr:           www.leaseweb.com
remarks:         Please send email to "abuse@leaseweb.com" for complaints
remarks:         regarding portscans, DoS attacks and spam.
country:         NL
admin-c:         LSW1-RIPE
tech-c:          LSW1-RIPE
status:          ASSIGNED PA
mnt-by:          OCOM-MNT
3
отвечен grawity 2023-03-02 15:05

к моему пониманию RIPE NCC управляет всеми IP-адресами (в Европе). Так что они не виноваты.

Мне кажется, что эти диапазоны адресов, принадлежащих компании (хостинг-провайдера).

Так что же происходит, что некоторые их сервера сканирование веб-сервера на наличие уязвимостей или пытаясь как-то придать ссылках на ваш сайт (в надежде, ссылки на сайт и создание ссылок на них сайты.)

Так почему же их серверы делают это? Ну кто-то оставил их сервер не защищен и был взломан. Теперь их сервер используется для выполнения ударов на других серверах (как у тебя).

вы можете написать abuse@leaseweb.com рассказать им об этом. Они могут закрыть доступ к сети для этих серверов, но проблема будет сохраняться с новых адресов.

3
отвечен Der Hochstapler 2023-03-02 17:22

Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]

Ваш ответ

Опубликуйте как Гость или авторизуйтесь

Имя
Мы используем cookie. Это позволяет нам анализировать взаимодействие посетителей с сайтом и делать его лучше. Продолжая пользоваться сайтом, вы соглашаетесь с использованием файлов cookie. Политика конфиденциальности
Согласен
Вверх