BigAp.ru — интернет-магазин электроники и бытовой техники

Автор Тема: Подозрение на взлом сайта, исследование  (Прочитано 536 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 8224
  • Karma: +112/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
Всем привет, есть сайт один, внезапно на это сайт стал расти немеренный трафик с разных интенет площадок, за несколько дней почти 10 тысяч посещений, рекламу никто не давал, есть подозрение на бот...

Первый раз раскапываю такую ситуацию, посмотрел на даты последних изменений файлов, посмотрел / промониторил трафик, ничего "левого" не обнаружил, доступ на сервер из-под чужих аккаунтов и с левых IP адресов небыло, посмотрел логи SSH, VSFTP...
cat /var/log/secure | grep "sshd" | grep "open"
cat /var/log/vsftpd.log | grep "OK LOGIN: Client"

Логи nginx показывают что с разных ресурсов якобы коннектились разные клиенты (реально похоже на накрутку траффика, но от куда и кто его мог инициализировать хз), экземпляр логов:
95.57.129.65 - - [05/Feb/2016:09:17:53 +0600] "GET /path/to/site/page/ HTTP/1.1" 200 9742 "http://seasonvar.ru/serial-1549-Pobeg.html" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/48.0.2564.97 Safari/537.36" "-"
109.201.62.61 - - [05/Feb/2016:09:18:07 +0600] "GET /path/to/site/page/ HTTP/1.1" 200 9746 "http://seasonvar.ru/serial-12506-Sverh_estestvennoe-11-season.html" "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.107 Amigo/45.0.2454.107 MRCHROME SOC Safari/537.36" "-"
147.30.155.95 - - [05/Feb/2016:09:21:17 +0600] "GET /path/to/site/page/ HTTP/1.1" 200 9745 "http://seasonvar.ru/serial-4563-Bitva_ekstrasensov.html" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/48.0.2564.103 Safari/537.36" "-"
147.30.132.245 - - [05/Feb/2016:09:21:19 +0600] "GET /path/to/site/page/ HTTP/1.1" 200 9744 "http://seasonvar.ru/serial-12-Doktor_Haus-1-season.html" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.107 Amigo/45.0.2454.107 MRCHROME SOC Safari/537.36" "-"
89.218.19.134 - - [05/Feb/2016:09:21:21 +0600] "GET /path/to/site/page/ HTTP/1.1" 200 9746 "http://seasonvar.ru/serial-12189-YA_lyublyu_tebya_7000_dnej-0-season.html" "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/48.0.2564.103 Safari/537.36" "-"
178.90.179.116 - - [05/Feb/2016:09:21:36 +0600] "GET /path/to/site/page/ HTTP/1.1" 200 9741 "http://seasonvar.ru/serial-682-Bednaya_Nastya.html" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/48.0.2564.97 Safari/537.36" "-"
89.218.92.182 - - [05/Feb/2016:09:21:43 +0600] "GET /path/to/site/page/ HTTP/1.1" 200 9743 "http://seasonvar.ru/serial-498-Merlin-1-season.html" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_5) AppleWebKit/601.3.9 (KHTML, like Gecko) Version/9.0.2 Safari/601.3.9" "-"


Что за хрень? Куда еще моно капнуть?
« Последнее редактирование: Февраль 05, 2016, 04:09:44 pm от nix »
дорогу осилит идущий...
......................
MCP, MCTS, RHCSA
......................
also aka xck...

 

Оффлайн major_jacks

  • Опытный пользователь
  • ***
  • Сообщений: 103
  • Karma: +7/-0
    • Share Post
Подозрение на взлома сайта, исследование
« Ответ #1 : Февраль 05, 2016, 03:36:07 pm »
Обращения всегда к одной странице? Может хозяин накрутку заказал?
« Последнее редактирование: Февраль 05, 2016, 03:38:14 pm от major_jacks »

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 8224
  • Karma: +112/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
Подозрение на взлома сайта, исследование
« Ответ #2 : Февраль 05, 2016, 03:53:48 pm »
К разным страницам, вот именно все смахивает на накрутку... Хозяин говорит не заказывал, но ест ьподозрение что крутит посещаемость компания - создатель сайта... Опытным путем выяснил что файлы за последне время не менялись на сервере и в папке сайта непосредственно. Похоже действительно на накрутку ))

Оффлайн NiX

  • Moderator
  • сисадми́н
  • ***
  • Сообщений: 613
  • Karma: +39/-0
  • Пол: Мужской
    • Share Post
Подозрение на взлома сайта, исследование
« Ответ #3 : Февраль 05, 2016, 03:56:12 pm »
Немного название темы смутило)) "Расследование взлома сайта"
По факту ведь взлома не было, трафик ведь только входящий? на один домен и на одну страницу?
Похоже на типичную бот-накрутку с подменой реферера и юзер-агента :)

Оффлайн NiX

  • Moderator
  • сисадми́н
  • ***
  • Сообщений: 613
  • Karma: +39/-0
  • Пол: Мужской
    • Share Post
Подозрение на взлома сайта, исследование
« Ответ #4 : Февраль 05, 2016, 03:57:23 pm »
Компании "разработчики" частенько практикуют такое грязное SEO :sarcastic:

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 8224
  • Karma: +112/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
Re: Подозрение на взлома сайта, исследование
« Ответ #5 : Февраль 05, 2016, 04:06:35 pm »
Переименовал тему.. А на счет этих разрабов, помещаю их в черный список...

Скрытая информация. Зарегистрируйтесь, чтобы увидеть её.

Оффлайн major_jacks

  • Опытный пользователь
  • ***
  • Сообщений: 103
  • Karma: +7/-0
    • Share Post
Re: Подозрение на взлома сайта, исследование
« Ответ #6 : Февраль 05, 2016, 04:08:01 pm »
Не анализировал по странам, юзерагентам?

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 8224
  • Karma: +112/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
Re: Подозрение на взлом сайта, исследование
« Ответ #7 : Февраль 05, 2016, 05:09:23 pm »
Вытаскиваем все IP адреса из nginx лога:
cat /var/log/nginx/access.log | grep seasonvar | awk '{ print $1 }' > ~/iplog.txt
Берем за основу скрипт, любезно предоставленный nix'ом, немного видоизменяем:
#!/bin/bash

filename="iplist.txt"

list=`cat $filename`

for ip in $list
do
country=`whois $ip | grep -iE ^country`
echo $ip `nslookup ${ip} | awk -F "=" '{ print $2 }'|sed 's/^[ t]*//' | sed '/^$/d' | sed 's/.$//'` $country
done
В итоге получаем вывод, все страны из KZ вроде как наши местные:
./whois-ip-list.sh 
37.150.42.104 37.150.42.104.megaline.telecom.kz country: KZ
2.135.86.20 2.135.86.20.megaline.telecom.kz country: KZ
5.251.98.209 country: KZ
95.58.25.246 95.58.25.246.megaline.telecom.kz country: KZ

Оффлайн major_jacks

  • Опытный пользователь
  • ***
  • Сообщений: 103
  • Karma: +7/-0
    • Share Post
Re: Подозрение на взлом сайта, исследование
« Ответ #8 : Февраль 05, 2016, 05:17:08 pm »
И теперь ./whois-ip-list.sh | grep KZ | cut -d " " -f 1 | sort | uniq | wc -l

Оффлайн sysadmin

  • Administrator
  • сисадми́н
  • *****
  • Сообщений: 8224
  • Karma: +112/-0
  • Пол: Мужской
    • Share Post
    • сайт для сис. админов и не только...
Re: Подозрение на взлом сайта, исследование
« Ответ #9 : Февраль 05, 2016, 05:38:58 pm »
570


xx
Взлом истории майл агента

Автор Arev

9 Ответов
1110 Просмотров
Последний ответ Март 19, 2015, 06:56:20 pm
от sysroman
xx
Смена доменного имени для сайта или перенос сайта на новое имя

Автор sysadmin

0 Ответов
193 Просмотров
Последний ответ Июнь 22, 2016, 03:31:59 pm
от sysadmin
xx
Вирус шифровальщик - исследование, защита, обсуждение

Автор sysadmin

15 Ответов
1684 Просмотров
Последний ответ Декабрь 12, 2015, 08:20:10 am
от sysadmin
xx
Исследование стойки сервера. Где и какой сервер?

Автор bessmertnyi_poni

2 Ответов
395 Просмотров
Последний ответ Февраль 22, 2016, 12:00:36 pm
от CyberPunk 2050