Sys-Admin Forum

Подозрение на взлом сайта, исследование

Всем привет, есть сайт один, внезапно на это сайт стал расти немеренный трафик с разных интенет площадок, за несколько дней почти 10 тысяч посещений, рекламу никто не давал, есть подозрение на бот…

Первый раз раскапываю такую ситуацию, посмотрел на даты последних изменений файлов, посмотрел / промониторил трафик, ничего “левого” не обнаружил, доступ на сервер из-под чужих аккаунтов и с левых IP адресов небыло, посмотрел логи SSH, VSFTP…

cat /var/log/secure | grep "sshd" | grep "open"
cat /var/log/vsftpd.log | grep "OK LOGIN: Client"

Логи nginx показывают что с разных ресурсов якобы коннектились разные клиенты (реально похоже на накрутку траффика, но от куда и кто его мог инициализировать хз), экземпляр логов:

95.57.129.65 - - [05/Feb/2016:09:17:53 +0600] "GET /path/to/site/page/ HTTP/1.1" 200 9742 "http://seasonvar.ru/serial-1549-Pobeg.html" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/48.0.2564.97 Safari/537.36" "-"
109.201.62.61 - - [05/Feb/2016:09:18:07 +0600] "GET /path/to/site/page/ HTTP/1.1" 200 9746 "http://seasonvar.ru/serial-12506-Sverh_estestvennoe-11-season.html" "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.107 Amigo/45.0.2454.107 MRCHROME SOC Safari/537.36" "-"
147.30.155.95 - - [05/Feb/2016:09:21:17 +0600] "GET /path/to/site/page/ HTTP/1.1" 200 9745 "http://seasonvar.ru/serial-4563-Bitva_ekstrasensov.html" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/48.0.2564.103 Safari/537.36" "-"
147.30.132.245 - - [05/Feb/2016:09:21:19 +0600] "GET /path/to/site/page/ HTTP/1.1" 200 9744 "http://seasonvar.ru/serial-12-Doktor_Haus-1-season.html" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.107 Amigo/45.0.2454.107 MRCHROME SOC Safari/537.36" "-"
89.218.19.134 - - [05/Feb/2016:09:21:21 +0600] "GET /path/to/site/page/ HTTP/1.1" 200 9746 "http://seasonvar.ru/serial-12189-YA_lyublyu_tebya_7000_dnej-0-season.html" "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/48.0.2564.103 Safari/537.36" "-"
178.90.179.116 - - [05/Feb/2016:09:21:36 +0600] "GET /path/to/site/page/ HTTP/1.1" 200 9741 "http://seasonvar.ru/serial-682-Bednaya_Nastya.html" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/48.0.2564.97 Safari/537.36" "-"
89.218.92.182 - - [05/Feb/2016:09:21:43 +0600] "GET /path/to/site/page/ HTTP/1.1" 200 9743 "http://seasonvar.ru/serial-498-Merlin-1-season.html" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_5) AppleWebKit/601.3.9 (KHTML, like Gecko) Version/9.0.2 Safari/601.3.9" "-"

Что за хрень? Куда еще моно капнуть?

Обращения всегда к одной странице? Может хозяин накрутку заказал?

К разным страницам, вот именно все смахивает на накрутку… Хозяин говорит не заказывал, но ест ьподозрение что крутит посещаемость компания - создатель сайта… Опытным путем выяснил что файлы за последне время не менялись на сервере и в папке сайта непосредственно. Похоже действительно на накрутку ))

Немного название темы смутило)) “Расследование взлома сайта”
По факту ведь взлома не было, трафик ведь только входящий? на один домен и на одну страницу?
Похоже на типичную бот-накрутку с подменой реферера и юзер-агента :slight_smile:

Компании “разработчики” частенько практикуют такое грязное SEO :sarcastic:

Переименовал тему… А на счет этих разрабов, помещаю их в черный список…

https://rocketfirm.com/

Не анализировал по странам, юзерагентам?

Вытаскиваем все IP адреса из nginx лога:

cat /var/log/nginx/access.log | grep seasonvar | awk '{ print $1 }' > ~/iplog.txt

Берем за основу скрипт, любезно предоставленный nix’ом, немного видоизменяем:


#!/bin/bash

filename="iplist.txt"

list=`cat $filename`

for ip in $list
do
	country=`whois $ip | grep -iE ^country`
	echo $ip `nslookup ${ip} | awk -F "=" '{ print $2 }'|sed 's/^[ t]*//' | sed '/^$/d' | sed 's/.$//'` $country
done

В итоге получаем вывод, все страны из KZ вроде как наши местные:

./whois-ip-list.sh 
37.150.42.104 37.150.42.104.megaline.telecom.kz country: KZ
2.135.86.20 2.135.86.20.megaline.telecom.kz country: KZ
5.251.98.209 country: KZ
95.58.25.246 95.58.25.246.megaline.telecom.kz country: KZ

И теперь ./whois-ip-list.sh | grep KZ | cut -d " " -f 1 | sort | uniq | wc -l

570