Для чего могут на мой сайт на VPS делаться следующие запросы и что они означают?

@7Alex · Регистрация: 24.06.2014

Author24 — интернет-сервис помощи студентам

Здравствуйте! Подскажите, пожалуйста, для чего могут на мой сайт на VPS делаться следующие запросы и что они означают?

185.49.14.190 - - [07/Jul/2016:12:13:18 +0300] "GET /testproxy.php HTTP/1.1" 404 392
103.242.21.255 - - [06/Jul/2016:19:23:17 +0300] "-" 408 0
189.218.169.226 - - [06/Jul/2016:12:50:15 +0300] "GET /hndUnblock.cgi HTTP/1.0" 404 415
189.218.169.226 - - [06/Jul/2016:12:50:15 +0300] "GET /tmUnblock.cgi HTTP/1.0" 404 414
189.218.169.226 - - [06/Jul/2016:12:50:16 +0300] "GET /cgi/common.cgi HTTP/1.0" 404 415
189.218.169.226 - - [06/Jul/2016:12:50:16 +0300] "GET /stssys.htm HTTP/1.0" 404 411
189.218.169.226 - - [06/Jul/2016:12:50:19 +0300] "POST /command.php HTTP/1.0" 404 412

Это пытались переустановить phpMyAdmin/получить доступ к phpMyAdmin?
64.137.237.89 - - [05/Jul/2016:16:08:54 +0300] "GET /phpMyAdmin2/scripts/setup.php HTTP/1.1" 404 422
64.137.237.89 - - [05/Jul/2016:16:08:54 +0300] "GET /phpMyAdmin3/scripts/setup.php HTTP/1.1" 404 422
64.137.237.89 - - [05/Jul/2016:16:08:12 +0300] "GET /apache-default/phpmyadmin/scripts/setup.php HTTP/1.1" 404 428
64.137.237.89 - - [05/Jul/2016:16:08:12 +0300] "GET /blog/phpmyadmin/scripts/setup.php HTTP/1.1" 404 424
64.137.237.89 - - [05/Jul/2016:16:08:20 +0300] "GET /cpanelphpmyadmin/scripts/setup.php HTTP/1.1" 404 424
64.137.237.89 - - [05/Jul/2016:16:08:20 +0300] "GET /cpphpmyadmin/scripts/setup.php HTTP/1.1" 404 422
64.137.237.89 - - [05/Jul/2016:16:08:21 +0300] "GET /forum/phpmyadmin/scripts/setup.php HTTP/1.1" 404 425
64.137.237.89 - - [05/Jul/2016:16:08:21 +0300] "GET /php/phpmyadmin/scripts/setup.php HTTP/1.1" 404 423
64.137.237.89 - - [05/Jul/2016:16:08:27 +0300] "GET /phpMyAdmin-2.10.0.1/scripts/setup.php HTTP/1.1" 404 428
64.137.237.89 - - [05/Jul/2016:16:08:30 +0300] "GET /phpMyAdmin-2.10.0.2/scripts/setup.php HTTP/1.1" 404 428

64.137.237.89 - - [05/Jul/2016:16:08:04 +0300] "GET /w00tw00t.at.blackhats.romanian.anti-sec

HTTP/1.1" 404 431
169.229.3.91 - - [03/Jul/2016:15:10:07 +0300] "\xe7r\xc0\xa2R\xf6N\xc8\xb6\x06\x97:\x18\x8d?]j\x9b\x87(\t\vxme-\x06\xa4b\xd6\xc5_\xe5\x80E\xcf\x8d+\xa3\xc4\xc0\xe1\xfc\xe9\xe0a\xba\x9a" 400 299

Это пытались получить доступ к WordPress, да?
94.102.48.193 - - [03/Jul/2016:23:24:50 +0300] "GET /wp/wp-login.php HTTP/1.0" 404 416

106.184.3.122 - - [03/Jul/2016:06:32:26 +0300] "GET /echo.php?info=20160703113225 HTTP/1.1" 404 474
173.227.0.76 - - [02/Jul/2016:19:46:22 +0300] "GET /invoker/JMXInvokerServlet HTTP/1.1" 404 544
115.230.125.146 - - [02/Jul/2016:12:16:39 +0300] "GET /cgi-bin/common/attr?id=260714&r=0.6458077902024698 HTTP/1.1" 404 509
222.85.138.75 - - [01/Jul/2016:16:10:45 +0300] "CONNECT twitter.com:443 HTTP/1.1" 404 525
52.39.158.130 - - [02/Jul/2016:00:40:10 +0300] "GET /redirect.php?url=http://mail.ru HTTP/1.1" 200 680
185.58.204.197 - - [02/Jul/2016:14:38:57 +0300] "HEAD /version.php HTTP/1.1" 200 784
185.58.204.197 - - [02/Jul/2016:14:38:58 +0300] "GET /version.php HTTP/1.1" 200 308
185.58.204.197 - - [02/Jul/2016:14:38:58 +0300] "HEAD /tds/version.php HTTP/1.1" 200 288
185.58.204.197 - - [02/Jul/2016:14:38:59 +0300] "GET /tds/version.php HTTP/1.1" 200 308
52.39.158.130 - - [07/Jul/2016:10:56:50 +0300] "GET /go.php?url=http://mail.ru HTTP/1.1" 200 680
52.39.158.130 - - [07/Jul/2016:11:55:50 +0300] "GET /redirect?url=http://mail.ru HTTP/1.1" 200 680
52.39.158.130 - - [07/Jul/2016:12:53:11 +0300] "GET /go/url=http://mail.ru HTTP/1.1" 400 235

@Max Dark · 07.07.2016, 15:05

Сообщение от 7Alex

Подскажите, пожалуйста, для чего могут на мой сайт на VPS делаться следующие запросы и что они означают?

Прошлись сканером в поисках дырявых скриптов

коды HTTP/1.1" 404 и 400 - сервер отбросил их как неверные, почитать о fail2ban не мешало бы.

Стоит обратить внимание на HTTP/1.1" 200 - успешно обработанные запросы - это потенциальные дыры, раз есть в базе сканеров

так же возможно использование вашего сайта для сокрытия реального адреса назначения:
кучка запросов с перенаправлением выглядит подозрительно

Код

52.39.158.130 - - [02/Jul/2016:00:40:10 +0300] "GET /redirect.php?url=http://mail.ru HTTP/1.1" 200 680
52.39.158.130 - - [07/Jul/2016:10:56:50 +0300] "GET /go.php?url=http://mail.ru HTTP/1.1" 200 680
52.39.158.130 - - [07/Jul/2016:11:55:50 +0300] "GET /redirect?url=http://mail.ru HTTP/1.1" 200 680

@7Alex · 08.07.2016, 08:06 **[ТС]**

Cra3y, а вот это, что за странные запросы?

103.242.21.255 - - [06/Jul/2016:19:23:17 +0300] "-" 408 0
189.218.169.226 - - [06/Jul/2016:12:50:15 +0300] "GET /hndUnblock.cgi HTTP/1.0" 404 415
189.218.169.226 - - [06/Jul/2016:12:50:15 +0300] "GET /tmUnblock.cgi HTTP/1.0" 404 414
189.218.169.226 - - [06/Jul/2016:12:50:16 +0300] "GET /stssys.htm HTTP/1.0" 404 411
64.137.237.89 - - [05/Jul/2016:16:08:04 +0300] "GET /w00tw00t.at.blackhats.romanian.anti-sec HTTP/1.1" 404 431
169.229.3.91 - - [03/Jul/2016:15:10:07 +0300] "\xe7r\xc0\xa2R\xf6N\xc8\xb6\x06\x97:\x18\x8d?]j\x9b\x87(\t\vxme-\x06\xa4b\xd6\xc5_\xe5\x80E\xcf\x8d+\xa3\xc4\xc0\xe1\xfc\xe9\xe0a\xba\x9a" 400 299
222.85.138.75 - - [01/Jul/2016:16:10:45 +0300] "CONNECT twitter.com:443 HTTP/1.1" 404 525

@Max Dark · 08.07.2016, 08:58

Код

103.242.21.255 - - [06/Jul/2016:19:23:17 +0300] "-" 408 0

Запрос "отвалился" по timeout

Код

189.218.169.226 - - [06/Jul/2016:12:50:15 +0300] "GET /hndUnblock.cgi HTTP/1.0" 404 415
189.218.169.226 - - [06/Jul/2016:12:50:15 +0300] "GET /tmUnblock.cgi HTTP/1.0" 404 414
189.218.169.226 - - [06/Jul/2016:12:50:16 +0300] "GET /stssys.htm HTTP/1.0" 404 411

Судя по google данные файлы бывают на некоторых роутерах и в них есть дыры, но у вас таких файлов нет

Код

64.137.237.89 - - [05/Jul/2016:16:08:04 +0300] "GET /w00tw00t.at.blackhats.romanian.anti-sec HTTP/1.1" 404 431

Это похоже на попытку зайти в "backdoor" - сканирование на наличие определенных скриптов(код возврата 404 - файл не найден)

Код

169.229.3.91 - - [03/Jul/2016:15:10:07 +0300] "\xe7r\xc0\xa2R\xf6N\xc8\xb6\x06\x97:\x18\x8d?]j\x9b\x87(\t\vxme-\x06\xa4b\xd6\xc5_\xe5\x80E\xcf\x8d+\xa3\xc4\xc0\xe1\xfc\xe9\xe0a\xba\x9a" 400 299

Скорее всего это проверка на какую то уязвимость, код возврата 400 - "неверный запрос"

Код

222.85.138.75 - - [01/Jul/2016:16:10:45 +0300] "CONNECT twitter.com:443 HTTP/1.1" 404 525

это похоже на проверку, установлена ли одна из библиотек для twitter API(могу ошибаться) - код возврата 404 - файл не найден

Добавлено через 8 минут
UPD: по последнему запросу: это проверка, что апач настроен как прокси https://wiki.apache.org/httpd/ProxyAbuse http://www.linux.org.ru/forum/... id=9188414

@7Alex 216 / 0 / 1 Регистрация: 24.06.2014 Сообщений: 144
		1
	Для чего могут на мой сайт на VPS делаться следующие запросы и что они означают? 07.07.2016, 14:05. Показов 3541. Ответов 3 Метки нет (Все метки) Здравствуйте! Подскажите, пожалуйста, для чего могут на мой сайт на VPS делаться следующие запросы и что они означают? 185.49.14.190 - - [07/Jul/2016:12:13:18 +0300] "GET /testproxy.php HTTP/1.1" 404 392 103.242.21.255 - - [06/Jul/2016:19:23:17 +0300] "-" 408 0 189.218.169.226 - - [06/Jul/2016:12:50:15 +0300] "GET /hndUnblock.cgi HTTP/1.0" 404 415 189.218.169.226 - - [06/Jul/2016:12:50:15 +0300] "GET /tmUnblock.cgi HTTP/1.0" 404 414 189.218.169.226 - - [06/Jul/2016:12:50:16 +0300] "GET /cgi/common.cgi HTTP/1.0" 404 415 189.218.169.226 - - [06/Jul/2016:12:50:16 +0300] "GET /stssys.htm HTTP/1.0" 404 411 189.218.169.226 - - [06/Jul/2016:12:50:19 +0300] "POST /command.php HTTP/1.0" 404 412 Это пытались переустановить phpMyAdmin/получить доступ к phpMyAdmin? 64.137.237.89 - - [05/Jul/2016:16:08:54 +0300] "GET /phpMyAdmin2/scripts/setup.php HTTP/1.1" 404 422 64.137.237.89 - - [05/Jul/2016:16:08:54 +0300] "GET /phpMyAdmin3/scripts/setup.php HTTP/1.1" 404 422 64.137.237.89 - - [05/Jul/2016:16:08:12 +0300] "GET /apache-default/phpmyadmin/scripts/setup.php HTTP/1.1" 404 428 64.137.237.89 - - [05/Jul/2016:16:08:12 +0300] "GET /blog/phpmyadmin/scripts/setup.php HTTP/1.1" 404 424 64.137.237.89 - - [05/Jul/2016:16:08:20 +0300] "GET /cpanelphpmyadmin/scripts/setup.php HTTP/1.1" 404 424 64.137.237.89 - - [05/Jul/2016:16:08:20 +0300] "GET /cpphpmyadmin/scripts/setup.php HTTP/1.1" 404 422 64.137.237.89 - - [05/Jul/2016:16:08:21 +0300] "GET /forum/phpmyadmin/scripts/setup.php HTTP/1.1" 404 425 64.137.237.89 - - [05/Jul/2016:16:08:21 +0300] "GET /php/phpmyadmin/scripts/setup.php HTTP/1.1" 404 423 64.137.237.89 - - [05/Jul/2016:16:08:27 +0300] "GET /phpMyAdmin-2.10.0.1/scripts/setup.php HTTP/1.1" 404 428 64.137.237.89 - - [05/Jul/2016:16:08:30 +0300] "GET /phpMyAdmin-2.10.0.2/scripts/setup.php HTTP/1.1" 404 428 64.137.237.89 - - [05/Jul/2016:16:08:04 +0300] "GET /w00tw00t.at.blackhats.romanian.anti-sec HTTP/1.1" 404 431 169.229.3.91 - - [03/Jul/2016:15:10:07 +0300] "\xe7r\xc0\xa2R\xf6N\xc8\xb6\x06\x97:\x18\x8d?]j\x9b\x87(\t\vxme-\x06\xa4b\xd6\xc5_\xe5\x80E\xcf\x8d+\xa3\xc4\xc0\xe1\xfc\xe9\xe0a\xba\x9a" 400 299 Это пытались получить доступ к WordPress, да? 94.102.48.193 - - [03/Jul/2016:23:24:50 +0300] "GET /wp/wp-login.php HTTP/1.0" 404 416 106.184.3.122 - - [03/Jul/2016:06:32:26 +0300] "GET /echo.php?info=20160703113225 HTTP/1.1" 404 474 173.227.0.76 - - [02/Jul/2016:19:46:22 +0300] "GET /invoker/JMXInvokerServlet HTTP/1.1" 404 544 115.230.125.146 - - [02/Jul/2016:12:16:39 +0300] "GET /cgi-bin/common/attr?id=260714&r=0.6458077902024698 HTTP/1.1" 404 509 222.85.138.75 - - [01/Jul/2016:16:10:45 +0300] "CONNECT twitter.com:443 HTTP/1.1" 404 525 52.39.158.130 - - [02/Jul/2016:00:40:10 +0300] "GET /redirect.php?url=http://mail.ru HTTP/1.1" 200 680 185.58.204.197 - - [02/Jul/2016:14:38:57 +0300] "HEAD /version.php HTTP/1.1" 200 784 185.58.204.197 - - [02/Jul/2016:14:38:58 +0300] "GET /version.php HTTP/1.1" 200 308 185.58.204.197 - - [02/Jul/2016:14:38:58 +0300] "HEAD /tds/version.php HTTP/1.1" 200 288 185.58.204.197 - - [02/Jul/2016:14:38:59 +0300] "GET /tds/version.php HTTP/1.1" 200 308 52.39.158.130 - - [07/Jul/2016:10:56:50 +0300] "GET /go.php?url=http://mail.ru HTTP/1.1" 200 680 52.39.158.130 - - [07/Jul/2016:11:55:50 +0300] "GET /redirect?url=http://mail.ru HTTP/1.1" 200 680 52.39.158.130 - - [07/Jul/2016:12:53:11 +0300] "GET /go/url=http://mail.ru HTTP/1.1" 400 235 0

@Max Dark шКодер самоучка 2227 / 1921 / 927 Регистрация: 09.10.2013 Сообщений: 4,263 Записей в блоге: 7
	07.07.2016, 15:05	2
	Сообщение от 7Alex Подскажите, пожалуйста, для чего могут на мой сайт на VPS делаться следующие запросы и что они означают? Прошлись сканером в поисках дырявых скриптов коды `HTTP/1.1" 404` и `400` - сервер отбросил их как неверные, почитать о fail2ban не мешало бы. Стоит обратить внимание на `HTTP/1.1" 200` - успешно обработанные запросы - это потенциальные дыры, раз есть в базе сканеров так же возможно использование вашего сайта для сокрытия реального адреса назначения: кучка запросов с перенаправлением выглядит подозрительно Код 52.39.158.130 - - [02/Jul/2016:00:40:10 +0300] "GET /redirect.php?url=http://mail.ru HTTP/1.1" 200 680 52.39.158.130 - - [07/Jul/2016:10:56:50 +0300] "GET /go.php?url=http://mail.ru HTTP/1.1" 200 680 52.39.158.130 - - [07/Jul/2016:11:55:50 +0300] "GET /redirect?url=http://mail.ru HTTP/1.1" 200 680 1

@7Alex 216 / 0 / 1 Регистрация: 24.06.2014 Сообщений: 144
	08.07.2016, 08:06 [ТС]	3
	Cra3y, а вот это, что за странные запросы? 103.242.21.255 - - [06/Jul/2016:19:23:17 +0300] "-" 408 0 189.218.169.226 - - [06/Jul/2016:12:50:15 +0300] "GET /hndUnblock.cgi HTTP/1.0" 404 415 189.218.169.226 - - [06/Jul/2016:12:50:15 +0300] "GET /tmUnblock.cgi HTTP/1.0" 404 414 189.218.169.226 - - [06/Jul/2016:12:50:16 +0300] "GET /stssys.htm HTTP/1.0" 404 411 64.137.237.89 - - [05/Jul/2016:16:08:04 +0300] "GET /w00tw00t.at.blackhats.romanian.anti-sec HTTP/1.1" 404 431 169.229.3.91 - - [03/Jul/2016:15:10:07 +0300] "\xe7r\xc0\xa2R\xf6N\xc8\xb6\x06\x97:\x18\x8d?]j\x9b\x87(\t\vxme-\x06\xa4b\xd6\xc5_\xe5\x80E\xcf\x8d+\xa3\xc4\xc0\xe1\xfc\xe9\xe0a\xba\x9a" 400 299 222.85.138.75 - - [01/Jul/2016:16:10:45 +0300] "CONNECT twitter.com:443 HTTP/1.1" 404 525 0

@Max Dark шКодер самоучка 2227 / 1921 / 927 Регистрация: 09.10.2013 Сообщений: 4,263 Записей в блоге: 7
	08.07.2016, 08:58	4
	Сообщение было отмечено 7Alex как решение Решение Код 103.242.21.255 - - [06/Jul/2016:19:23:17 +0300] "-" 408 0 Запрос "отвалился" по timeout Код 189.218.169.226 - - [06/Jul/2016:12:50:15 +0300] "GET /hndUnblock.cgi HTTP/1.0" 404 415 189.218.169.226 - - [06/Jul/2016:12:50:15 +0300] "GET /tmUnblock.cgi HTTP/1.0" 404 414 189.218.169.226 - - [06/Jul/2016:12:50:16 +0300] "GET /stssys.htm HTTP/1.0" 404 411 Судя по google данные файлы бывают на некоторых роутерах и в них есть дыры, но у вас таких файлов нет Код 64.137.237.89 - - [05/Jul/2016:16:08:04 +0300] "GET /w00tw00t.at.blackhats.romanian.anti-sec HTTP/1.1" 404 431 Это похоже на попытку зайти в "backdoor" - сканирование на наличие определенных скриптов(код возврата 404 - файл не найден) Код 169.229.3.91 - - [03/Jul/2016:15:10:07 +0300] "\xe7r\xc0\xa2R\xf6N\xc8\xb6\x06\x97:\x18\x8d?]j\x9b\x87(\t\vxme-\x06\xa4b\xd6\xc5_\xe5\x80E\xcf\x8d+\xa3\xc4\xc0\xe1\xfc\xe9\xe0a\xba\x9a" 400 299 Скорее всего это проверка на какую то уязвимость, код возврата 400 - "неверный запрос" Код 222.85.138.75 - - [01/Jul/2016:16:10:45 +0300] "CONNECT twitter.com:443 HTTP/1.1" 404 525 это похоже на проверку, установлена ли одна из библиотек для twitter API(могу ошибаться) - код возврата 404 - файл не найден Добавлено через 8 минут UPD: по последнему запросу: это проверка, что апач настроен как прокси https://wiki.apache.org/httpd/ProxyAbuse http://www.linux.org.ru/forum/... id=9188414 1

Для чего могут на мой сайт на VPS делаться следующие запросы и что они означают?

Решение