Вирусный трафик

Прислано: dyp@drupal.org

вт, 09/01/2007 - 22:31

Другие статьи по теме:

Если у вас есть сайт на друпале (да и не только) то в логах скорее всего вы видите обращение к несуществующим страницам:
http://www.site.ru/MSOffice/cltreq.asp?бла-бла-бла
http://www.site.ru/_vti_bin/owssvr.dll?бла-бла-бла
это добрые люди ищут уязвимости в нашем движке (видимо с целью сообщить вам об этом))
Проблем с этим особых нет кроме паразитного трафика, и дополнительных обращений к БД которые так не любят друпаллеры.
Я решил для себя эту проблему так:
В файле .htaccess после

<IfModule mod_rewrite.c>
 RewriteEngine on

добавил

RewriteCond %{THE_REQUEST} _vti_bin [NC,OR] 
RewriteCond %{THE_REQUEST} MSOffice [NC] 
RewriteRule ^.*$ hacker.html [L]

В корень сайта положил файл hacker.html с поздравлением для тех кто его будет читать.
Остался один вопрос, что значит если запрос к этим файлом идет от зарегистрированного пользователя.

Комментарии


Настройки просмотра комментариев

Выберите нужный метод показа комментариев и нажмите "Применить"
Опубликовано SadhooKlay (гостевой логин) в вт, 09/01/2007 - 23:01.
SadhooKlay

Когда я столкнулся точно с такой же проблемой, а перерубил ip адреса в .htaccess и запретил запрашивать страницы по злосчастному запросу.

Отверт на вопрос: видимо программное обеспечение на машине пользователя стоит, мягко говоря не добросовестное.


Опубликовано dyp@drupal.org в вт, 09/01/2007 - 23:26.
dyp@drupal.org

Склоняюсь к мысли что машина пользователя заражена трояном, или вирусом каким


Опубликовано Shedko в ср, 10/01/2007 - 02:44.
Shedko

У меня тоже такие записи регулярно появляются на сайте, а что интересно, что на eng версии того же сайта таких записей нет.
Не знаю может только "наши" любят "помучать" сервера на которые заходят


Опубликовано marazmus в ср, 10/01/2007 - 04:43.
marazmus

Цитата:

Остался один вопрос, что значит если запрос к этим файлом идет от зарегистрированного пользователя.

99% - на машине юзера висит троян, т.е. его машина - "зомби". И скорее всего, зарегенный юзер об этом и не подозревает. Троян просто сканирует все сайты, которые посещает человек.


Опубликовано Krotty@drupal.org в ср, 10/01/2007 - 07:43.
Krotty@drupal.org

Гм... Граждане, товарищи и господа! Все гораздо проще.
Это не троян, это на хосте клиента установлен MS Office с поддержкой Microsoft Office Server Extensions (серверных расширений MS Office) и IE ищет на каждом из посещенных сайтов Discussion Groups. ;)


Опубликовано dyp@drupal.org в ср, 10/01/2007 - 08:13.
dyp@drupal.org

на хосте клиента установлен MS Office
Я так и знал что вирусы )


Опубликовано Dan в ср, 10/01/2007 - 13:34.
Dan

> Это не троян, это на хосте клиента установлен MS Office...
Дык этож самый главный троян!


Опубликовано Igor-san в пн, 15/01/2007 - 07:47.
Igor-san

Люди стали слишком пугливы. Пусть зайдут на свой сайт, в ИЕ нажмут кнопку "Обсудить" - и после проанализируют логи.


Опубликовано Skiv в вт, 08/01/2008 - 13:27.
Skiv

могу сделать хостинг позвони москва 4921067 или 8917 537-39-05
возможно бесплатно для тебя - у меня платный хостинг


Опубликовано Skiv в вт, 08/01/2008 - 13:28.
Skiv

хостинг в москве


Ссылки партнёров