логи сервера(вопрос)

[MilkeyWay]

Привет всем,в администрировании серверов я нубик,по-этому решил обратиться к вам за помощью,в логах сервера наткнулся на такую запись,может кто просвятить-втф?

82.149.xx.xxx - - [12/May/2012:16:04:51 +0400] "r\xe9\x96L(\x19\xfb4\xb7\xdd\xf5\xd7\xd7R\x1eW\xb8,\x1e\x1a" 200 17040 "-" "-"

ps это гугловские следы...?

 

[DrakonHaSh]

Привет всем,в администрировании серверов я нубик,по-этому решил обратиться к вам за помощью,в логах сервера наткнулся на такую запись,может кто просвятить-втф?

82.149.xx.xxx - - [12/May/2012:16:04:51 +0400] "r\xe9\x96L(\x19\xfb4\xb7\xdd\xf5\xd7\xd7R\x1eW\xb8,\x1e\x1a" 200 17040 "-" "-"

либо какое-то чудо обратилось на ваш сервак с запросом
r\xe9\x96L(\x19\xfb4\xb7\xdd\xf5\xd7\xd7R\x1eW\xb8,\x1e\x1a
вместо нормального, по типу
GET / HTTP/1.1
и получило в ответ код 200 (все ок) и 17040 байт данных (что очень странно - не должен быть код ответа 200 на хрен пойми какой запрос)

либо какой-то чудак хакнул вам сервак и в логах ради прикола поменял реальные запросы на эту хрень

ps это гугловские следы...?

уверен что нет

 

[MilkeyWay]

хм,интересно.
нашел еще такие записи,чуть ранее по времени,вышеуказанного запроса

176.215.ххх.хх - - [12/May/2012:15:44:44 +0400] "-" 408 0 "-" "-"
189.220.ххх.хх - - [12/May/2012:15:45:11 +0400] "i\x80\x98\x1dKw\xe66T\x86a\xc3\x1f\x9f\xa2\xde\xceO\x02\xc8\xd5V\xdd[\xa0\x02\x10l\xec+\xbdL\xe9\xb5\xc7\xa9\x1f@q\xa0\xf0K*E\xb0\xc6\x1b\xfffW\xf9#\vl\xb8\x1c\xc61" 400 301 "-" "-"

как бы этот запрос расшифровать?

 

[devotum]

а мне эти каракули напоминают, когда на freebsd с установленным изначально по дефалту английским языком, в файле какие-то комментарии написаны на русском, а русского языка в системе нет. может это оно?

 

[MilkeyWay]

а мне эти каракули напоминают, когда на freebsd с установленным изначально по дефалту английским языком, в файле какие-то комментарии написаны на русском, а русского языка в системе нет. может это оно?

а фиг его знает,серв стоит на убунте,присутствуют русский и английский,что подозрительно-сайт закрыт от индексации,т.е все на стадии разработки,кто о нем узнал хз,айпишники разные в запросах,поспрашиваю еще в тп цмс,мб там чем тоже помогут

 

[devotum]

ну, из моего опыта владения freebsd с белым айпи, даже без апача и других прелестей - могу сказать уверенно:
китайцы находят новый айпи и начинают его брутить по 22 порту буквально за неделю, может меньше.
мой скрипт кидает в бан айпишник с которого пытались брутить)) могу выслать список, если там есть твой подозреваемый айпи - значит обычные мегакулхацкеры)

 

[MilkeyWay]

ну, из моего опыта владения freebsd с белым айпи, даже без апача и других прелестей - могу сказать уверенно:
китайцы находят новый айпи и начинают его брутить по 22 порту буквально за неделю, может меньше.
мой скрипт кидает в бан айпишник с которого пытались брутить)) могу выслать список, если там есть твой подозреваемый айпи - значит обычные мегакулхацкеры)

было бы не плохо,попытка-не пытка

посоветовали выполнить: cat log.txt | iconv -f utf-16be | less

перекодировало в иероглфы,получается и впрямь ребята из китая...только все же остается загадкой-к какому файлу было обращение,что сервер ответил 200

 

[sarros]

Китайские брутеры - явление частое и многочисленное. Чаще всего они долбятся в 22 порт. Чтобы меньше было мусора в логах, лучше поставить фаервол, который закрывает порты, оставляя открытыми только самые необходимые. Потому что будут постоянные попытки перебора портов.