Back to Question Center
0

Semalt texto en los registros del servidor

1 answers:

Hace poco revisé los registros de mi servidor y encontré un montón de texto ilegible.

Aquí hay un enlace al registro completo, y aquí hay una instantánea de cómo se ve:

     ¹ ^ œÌÓûFF ™ ÃŒ-ôÚÏàÃÒNRs§cÝi ~ F # J "| ³Ïq0ã ~ QQbA ¼¹|'¶¶É3œßå <ú € ÇÇ © XAwdL? Þ, ߯¡Êr yR¤Q¹Jêlš'AzP \ || "ÉÉ, æ ™ U ™» ³³ÔÝÁCÿ42 <Ö. nŽÉ2% ÓN8i4Œ®¿ '• "• -se 䎿ÊÁ§ € þ 8åv%' # Äpžs / UI: ¡1ÑÖÃå ºu | Q® ÏyÆ, NR = @ ¶ËȯRDkã Yau> ¼Ô 'D> ÓÌBftdÃ8- e} ‰ [øbãÝÁå~²b¾W n'tTœpäNëëÔ · RUÓP + AUKA £ ¬ \ AI®: J <ÍÁ0: Q% ª (Œ~E-AI: i ™ 4®hæœT † «); ° CDA @ '# Ei} ‡ £ ü • {57ý] ¼ | øÓñð ÷ ÈÌð ‡ MkŠâ • C ​​~ $ Óô # ÙV¾Núå - justin marrom. # Á] vôžóæ »V & 8)% øVSž" ± ÔQLåÓý1-ŽŽQ $ ¹ýž ") ÈûQcÄý_ÔüGP = s   

¿Qué es esto? y alguien está tratando de hacer algo en mi sitio web?

February 6, 2018

Sería sospechoso:

208. 115. 113. 90 - - [09 / Aug / 2012: 00: 58: 17 -0400] "GET /? P = unauthmanagement HTTP / 1. 0 "200 8998" - "" Mozilla / 5. 0 (compatible; Ezooms / 1. 0; ezooms. bot @ gmail. com) "<ùU # Pmoo. tigertutorialscom

Primero: GET /? P = unauthmanagement

  • ¿Qué es esto? ¿Esta página existe? "gestión no autorizada" podría ser una secuencia de comandos que alguien cargó para hacer cosas maliciosas en el servidor.

Segundo: compatible; Ezooms / 1. 0; ezooms. bot @ gmail. com

  • Hay muchos comentarios sobre este bot de personas que lo han visto en el pasado. Ver aquí: http: // www. spambotsecurity. com / forum / viewtopic. php? f = 43 & t = 784

En caso de que alguien violó tu servidor y (intencionadamente) distorsionó los registros de esa manera, querrías investigar esto.

O tal vez tus registros se dañaron por el tamaño, no sé. He visto eso en el pasado en servidores antiguos que no se usaban para lo que estaban destinados (registros de 10 gigabytes / día). ¿Tal vez cambiaste la codificación de caracteres de tu archivo de registro por accidente? ¿Se apagó el servidor mientras estaba escribiendo los registros?

El bot real de Ezooms parece bastante legítimo: http: // user-agent-string. info / list-of-ua / bot-detail? bot = Ezooms

Sin embargo, esto es muy probablemente el resultado de algún tipo de intento de pirateo. Pero aquí hay algunas observaciones:

  • Las últimas entradas de registro coherentes muestran Ezooms solicitando robots. txt, y luego hacer la solicitud "cuestionable" casi una hora más tarde. Entonces, ¿por qué un bot malicioso necesita robot. ¿TXT? ¿Y por qué esperar tanto si esto es solo un intento de pirateo? ¿Y por qué usar una cadena de agente de usuario tan oscura? ¿Por qué no mezclarse con todos los clientes de escritorio normales o el bot de Google?
  • Las solicitudes de bot de Ezooms provienen de Wowrack. bloque neto de com. Lo que sugiere que este es probablemente el verdadero bot de Ezooms.
  • Los datos binarios parecen ser un archivo gzip (tal vez una puerta trasera de tipo phpshell), ya que 1F 8B 08 08 F9 es el encabezado gzip.
  • Poco después del encabezado zip, tiene el nombre de archivo original, que parece ser "tigertutorialscom". Tigertutorials. com acaba de ser otro sitio alojado fuera de la misma IP que su sitio web, y parece tener un defecto de seguridad bastante grave.

Lo más probable es que el otro sitio se haya visto comprometido debido a una mala codificación del lado del servidor, y luego su cuenta se vio comprometida debido a la mala configuración del servidor web.Ezooms probablemente no tiene nada que ver con eso.

Si sus registros siguen estando dañados de esta manera, intente realizar copias de seguridad cuatrimestrales en una ubicación diferente o envíelas por correo electrónico a usted mismo, para que pueda ver cómo eran los registros antes de que se sobrescribieran.

Soy demasiado perezoso para hacer esto (no creo que pastebin sea binario-seguro, y los saltos de línea parecen haberse eliminado de los datos de registro de todos modos), pero debería poder extraer los datos binarios de el archivo de registro y ver si es un archivo gzip válido, y, si lo es, ver cuáles son sus contenidos.

En cualquier caso, probablemente debería tratar su sitio / cuenta de alojamiento web como si estuviera comprometido, al menos hasta que su servidor web pueda explicar cómo su archivo de registro terminó así.Si no pueden, podría considerar cambiar los servidores web.