查看我的服务器日志,我发现来自不同 IP 地址的大量活动。如下所示:
69.65.10.86 - - [22/Feb/2012:11:14:40 -0200] "GET http://amate urangelz.com/ HTTP/1.1" 200 69869
69.65.10.86 - - [22/Feb/2012:11:14:45 -0200] "GET http://amat eurangelz.com/tx/out.php?t=exgirlfriendshots.com&l=toplist HTTP/1.1" 301 -
95.211.8.143 - - [22/Feb/2012:11:16:19 -0200] "GET http://porn-ma ture.org/ HTTP/1.1" 200 112102
95.211.8.143 - - [22/Feb/2012:11:16:22 -0200] "GET http://porn- mature.org/streamrotator/out.php?l=0.6.191.10308.0&u=/?search=Verie&facename=tags HTTP/1.1" 302 -
95.211.8.143 - - [22/Feb/2012:11:16:27 -0200] "GET http://porn-m ature.org//?search=Verie&facename=tags/ HTTP/1.1" 200 37943
95.211.8.143 - - [22/Feb/2012:11:16:36 -0200] "GET http://porn- mature.org/cgi-bin/te/o.cgi?id= HTTP/1.1" 302 203
95.211.22.8 - - [22/Feb/2012:11:17:05 -0200] "GET http://www.teens naked.us/cgi-bin/in.cgi?id=628 HTTP/1.1" 302 219
95.211.22.8 - - [22/Feb/2012:11:17:06 -0200] "GET http://www.teens naked.us/index.html?628 HTTP/1.1" 200 64907
95.211.22.8 - - [22/Feb/2012:11:17:16 -0200] "GET http://www.teensna ked.us/cgi-bin/out.cgi?ses=1YH2IQasTU&id=1472&url=http%3a%2f%2fwww.teens-porno.net%2fteenpornforum%2f HTTP/1.1" 302 221
95.211.15.136 - - [22/Feb/2012:11:17:36 -0200] "GET http://gogous enett.com/ HTTP/1.1" 200 13794
95.211.15.136 - - [22/Feb/2012:11:17:44 -0200] "GET http://go gousenett.com/category/nonude/ HTTP/1.1" 200 11858
95.211.8.143 - - [22/Feb/2012:11:22:16 -0200] "GET http://www.milfc utees.com/?ref=moms-area.net HTTP/1.1" 200 47961
95.211.8.143 - - [22/Feb/2012:11:22:16 -0200] "GET http://www.milfc utees.com/dtr/count.php?gr=1 HTTP/1.1" 200 -
(我在 URL 中插入随机空格以驱逐任何类型的洪水......,这只是日志的一小部分......)
简单whois
查看一下这些 IP 地址,我发现这些 IP 地址来自 RIPE NCC。这是什么?他们对我的服务器做了什么?这很奇怪。
我有一台 Apache雄猫7 服务器在端口 4040 上运行,Apache (灯) 服务器在端口 80 上运行,代理到在 Tomcat 中运行的应用程序。
这是正常的吗?发生了什么事?
我检查了auth.log
文件,发现有大量来自这些 IP 地址的登录尝试。这似乎是一次暴力攻击。
IP 地址列表:
120.205.8.6
144.16.112.130
163.17.108.2
175.45.42.32
199.15.113.158
210.72.192.56
222.174.35.3
还有一件事:很长一段时间以来,这台服务器只运行 Tomcat。当我安装并运行 XAMPP (LAMP) 时,这些攻击就开始了。
答案1
你的whois
是也简单的。
RIPE NCC 是区域互联网注册机构(针对欧洲、中东和中亚部分地区,根据维基百科)尽管它被列为95.0.0.0/8
网络由 ARIN 和其他 RIR 管理,它仅管理较小网络对其他用户的分配。
网络范围:95.0.0.0 - 95.255.255.255 CIDR: 95.0.0.0/8 网络名称:95-RIPE 网络句柄:NET-95-0-0-0-1 NetType:分配给 RIPE NCC 评论:这些地址已进一步分配给用户 备注:RIPE NCC 地区。联系信息可在 注释:RIPE 数据库,网址为 http://www.ripe.net/whois 注册日期: 2007-07-30 更新日期:2009-05-18 参考:http://whois.arin.net/rest/net/NET-95-0-0-0-1 推荐服务器:whois://whois.ripe.net:43
更智能的 WHOIS 客户端会自动查询 RIPE NCC(使用配置文件或按照推荐);其他客户端则需要您提供-h whois.ripe.net
或类似选项。根据 RIPE NCC 的说法,95.211.8.143
属于 LeaseWeb:
网络编号: 95.211.21.192 - 95.211.28.63 网络名称:LEASEWEB 描述:LeaseWeb 描述:邮政信箱 93054 描述:1090BB 阿姆斯特丹 描述:荷兰 描述:www.leaseweb.com 备注:请发邮件至“[电子邮件保护]“投诉 备注:关于端口扫描、DoS 攻击和垃圾邮件。 国家:荷兰 管理员-c: LSW1-RIPE 技术-c:LSW1-RIPE 状态:已分配 PA mnt-by:OCOM-MNT
答案2
据我了解成熟 NCC管理所有 IP 地址(在欧洲)。所以他们不应该受到指责。
在我看来这些地址范围归 LeaseWeb(托管服务提供商)所有。
所以正在发生的事情是,他们的一些服务器正在扫描您的网络服务器以查找漏洞或尝试以某种方式将 URL 注入您的网站(希望这些链接最终出现在网站上并在这些网站上产生引荐点击)。
那么他们的服务器为什么会这样呢?嗯,有人离开了他们的服务器不受保护并被劫持。现在他们的服务器被用来执行攻击在其他服务器上(例如您的服务器)。
您可以发邮件[email protected]
告知他们。他们可能会关闭这些服务器的网络访问,但问题仍会在新地址继续存在。