Добро пожаловать! Это — архивная версия форумов на «Хакер.Ru». Она работает в режиме read-only.
 

Трафик с зараженных сайтов

Пользователи, просматривающие топик: none

Зашли как: Guest
Все форумы >> [Первый вопрос] >> Трафик с зараженных сайтов
Имя
Сообщение << Старые топики   Новые топики >>
Трафик с зараженных сайтов - 2011-03-19 11:48:20.630000   
miko1

Сообщений: 7
Оценки: 0
Присоединился: 2011-03-19 11:39:05.673333
Добрый день!
Около недели наблюдаю в статистике посещения сайта трафик, идущих с зараженных сайтов.
Более 10-15 тысяч "посетителей" в сутки. Если зайти на эти сайты, то антивирус сообщает о трояне.
Также идет трафик с систем активной накрутки ruclicks.com и подобных. Несколько доменов зарегистрированы буквально на днях, один из них имеет адрес, отличающийся на одну букву от адреса моего домена.
Много трафика с поддоменов ucoz.ru и других бесплатных доменов (сайты также заражены).

С какой целью это делается? По всей видимости тот, кто делает эти запросы, достаточно хорошо заморочился, поскольку при первом обращении к хостеру с запросом об отключении этого сайта, сменил хостера так, что теперь невозможно вычислить, даже по ip адресу "атакующего" сайта.
Post #: 1
RE: Трафик с зараженных сайтов - 2011-03-19 12:11:29.513333   
Ltonid

Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
Может это ддос такой?
А что именно хотят эти 15к посетителей, скрипт какой то атакуют или что?
Post #: 2
RE: Трафик с зараженных сайтов - 2011-03-19 12:20:25.413333   
miko1

Сообщений: 7
Оценки: 0
Присоединился: 2011-03-19 11:39:05.673333
Отказа в обслуживании сервера нет, да и сервер выдерживает достаточно высокую нагрузку. А уже неделю пытаются завалить сайт 15 тысячами? Вряд ли…
К скриптам никаким не обращаются, просто получается, что идет перенаправление на мой сайт с тех сайтов. Но при открытии этих доменов антивирус сообщает о трояне.
На что может повлиять такой трафик? Ищу на форумах уже неделю, нигде похожего описания "атаки" найти не могу.
Post #: 3
RE: Трафик с зараженных сайтов - 2011-03-19 13:05:16.933333   
Ltonid

Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
Если используется дорвей, то в лучшем случае сайт забанят в поисковиках, в худшем снесут.
Ну дайте пример вредоносного сайта в пм. Посмотрим что там. Может просто совпадение или ошибка.
Post #: 4
RE: Трафик с зараженных сайтов - 2011-03-19 13:17:27.846666   
miko1

Сообщений: 7
Оценки: 0
Присоединился: 2011-03-19 11:39:05.673333
Отправил.
Post #: 5
RE: Трафик с зараженных сайтов - 2011-03-19 14:25:25.230000   
Ltonid

Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
Вобщем проанализировал.
С зараженных сайтов грузиться два вируса: SpyEye и блокер.
Кроме того данные сайты учавствуют в раскрутке через дорвеи т.е. заходишь на один но затем посещаешь ещё десяток.
Вероятно на вашем сайте есть такой же дорвей.
Я своим посещением не застал его, но это не значит что его нет ибо ссылки генерируются рендомно.

Анализ продолжается, а вам советую посмотреть не только на входящий но и на исходящий трафик.
И все таки обращения должны быть по особому адресу.
Post #: 6
RE: Трафик с зараженных сайтов - 2011-03-19 18:17:49.226666   
miko1

Сообщений: 7
Оценки: 0
Присоединился: 2011-03-19 11:39:05.673333
Спасибо за сообщение!
Исходящий трафик сайта не вызывает никаких подозрений.
Мой сайт никогда не участвовал в системах раскрутки, накрутки и так далее.
Может ли сайт быть забанен поисковыми системами при данной "атаке"?
Можно ли что-то предпринять, чтобы этого не произошло?
Post #: 7
RE: Трафик с зараженных сайтов - 2011-03-19 18:27:05.883333   
Ltonid

Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
Если сайт действительно ничего не пересылает, то ничего не случиться.
Честно совсем не ясно причем тут ваш сайт, видимо это все таки ддос ибо на зараженных сайтах совсем не видно контента, только хитрые скрипты.
Post #: 8
RE: Трафик с зараженных сайтов - 2011-03-19 20:36:58.290000   
miko1

Сообщений: 7
Оценки: 0
Присоединился: 2011-03-19 11:39:05.673333
Казалось бы, за неделю ddos атакующий должен понять, что из-за 15-20 тысяч запросов нет отказа в обслуживании.
Голову ломаю над целью всю неделю.
Post #: 9
RE: Трафик с зараженных сайтов - 2011-03-19 20:45:54.276666   
Ltonid

Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
Но это и не маленькое количество все таки.
Ты можешь показать кусочек лога с обращения с этих сайтов? Там есть запрос с которым они обращаются?
Post #: 10
RE: Трафик с зараженных сайтов - 2011-03-22 23:38:17.496666   
miko1

Сообщений: 7
Оценки: 0
Присоединился: 2011-03-19 11:39:05.673333
В логах вижу только к примеру дату обращения, и refferer, то есть ссылку, с которой зашел пользователь. Похоже на обычный заход по ссылке с какого-либо сайта, без определенного запроса к серверу.
Post #: 11
RE: Трафик с зараженных сайтов - 2011-03-23 06:44:22   
Ltonid

Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666

quote:

ORIGINAL: miko1

В логах вижу только к примеру дату обращения, и refferer, то есть ссылку, с которой зашел пользователь. Похоже на обычный заход по ссылке с какого-либо сайта, без определенного запроса к серверу.

Это не то. Реферер можно подделать. Надо лог обращений к скриптам сайта. Например у меня создается типа
дата Ip mysite.ru/stranica.php?search=blabla refferer имя браузера
Вот такой.
Post #: 12
RE: Трафик с зараженных сайтов - 2011-04-11 15:07:07.520000   
miko1

Сообщений: 7
Оценки: 0
Присоединился: 2011-03-19 11:39:05.673333
На некоторое время прекратились запросы. Теперь появились вновь и в огромном количестве, с разных адресов.
Запросы такого плана пишут логи:

83.149.3.98 - - [11/Apr/2011:00:01:09 +0400] "GET / HTTP/1.0" 200 11548 "http://new1.fatscats.ru/?check" "Mozilla/5.0 (Windows; U; Windows NT 6.1; ru; rv:1.9.1.18) Gecko/20110319 MRA 5.7 (build 03797) Firefox/3.5.18 sputnik 2.4.0.54"
89.204.27.40 - - [11/Apr/2011:00:01:26 +0400] "GET / HTTP/1.0" 200 11548 "http://new1.fatscats.ru/?check" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; ru) Opera 9.64"
78.132.137.18 - - [11/Apr/2011:00:01:33 +0400] "GET / HTTP/1.0" 200 11548 "http://new1.fatscats.ru/?check" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.6) Gecko/2009011913 Firefox/3.0.6"
89.204.27.40 - - [11/Apr/2011:00:01:37 +0400] "GET / HTTP/1.0" 200 11548 "http://new1.fatscats.ru/?check" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; ru) Opera 9.64"

и так далее, это с адреса http://new1.fatscats.ru/?check (более 10 тысяч запросов)

Таких адресов наплодили много. Сейчас еще некоторые приведу:

178.34.169.78 - - [11/Apr/2011:00:01:42 +0400] "GET / HTTP/1.0" 200 11548 "http://storysad.ru/?check" "Opera/9.80 (Windows NT 5.1; U; ru) Presto/2.7.62 Version/11.01"
94.181.24.174 - - [11/Apr/2011:00:02:09 +0400] "GET / HTTP/1.0" 200 11548 "http://storysad.ru/?check" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.2.16) Gecko/20110319 Firefox/3.6.16"
109.248.129.92 - - [11/Apr/2011:00:02:28 +0400] "GET / HTTP/1.0" 200 11548 "http://storysad.ru/?check" "Opera/9.80 (Windows NT 6.1; U; MRA 5.7 (build 03797); ru) Presto/2.7.62 Version/11.00"
94.25.17.92 - - [11/Apr/2011:00:02:56 +0400] "GET / HTTP/1.0" 200 11548 "http://storysad.ru/?check" "Mozilla/5.0 (Windows; U; Windows NT 6.1; ru; rv:1.9.2.16) Gecko/20110319 AskTbFXTV5/3.11.3.15590 Firefox/3.6.16 sputnik 2.4.0.48"

это с адреса storysad.ru/?check (более 2000 запросов)

178.211.168.54 - - [11/Apr/2011:00:02:59 +0400] "GET / HTTP/1.0" 200 11548 "http://uni13.tk/trafgon.php?i=16602" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"
46.138.170.222 - - [11/Apr/2011:00:03:17 +0400] "GET / HTTP/1.0" 200 11548 "http://uni13.tk/trafgon.php?i=16602" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; GTB6.6; WebMoney Advisor; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; eSobiSubscriber 2.0.4.16; .NET4.0C; BRI/2)"

с адреса http://uni13.tk/trafgon.php?i=16602 более 500 запросов.

И далее похожие запросы с сайтов
tab-guitar.ru/
uni12.tk/trafgon.php?i=13666
super–soft.ucoz.ru/
agaframe.ru/all.php
hihi-haha.net/zav.php?link=exitpage

Post #: 13
RE: Трафик с зараженных сайтов - 2011-04-19 19:08:23.990000   
Ltonid

Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
Честно я уже смотрел, но идей не появилось
Т.е. например new1.fatscats.ru/?check и uni13.tk/trafgon.php?i=16602 - дорвеи, даже из названия видно.
GET / HTTP/1.0 - запрос корневого католога, т.е. это тупо ip даже не главную страницу.

Либо там когда то давно давно находилось нечто нужное, либо это чтобы дискридитировать сайт. Ну на ддос не похоже.
Время запросов разное, значит это не генерируемый трафик, а от людей.

Я не знаю как, но как то можно попробывать настроить сервер чтобы он на запрос GET / HTTP/1.0 отдавал не 200, а например 404 или 502. Может прекратиться или как то поведение измениться.
Post #: 14
Страниц:  [1]
Все форумы >> [Первый вопрос] >> Трафик с зараженных сайтов







Связаться:
Вопросы по сайту / xakep@glc.ru

Предупреждение: использование полученных знаний в противозаконных целях преследуется по закону.