Вирусный трафик

Главные вкладки

Аватар пользователя dyp@drupal.org dyp@drupal.org 10 января 2007 в 1:31

Если у вас есть сайт на друпале (да и не только) то в логах скорее всего вы видите обращение к несуществующим страницам:
http://www.site.ru/MSOffice/cltreq.asp?бла-бла-бла
http://www.site.ru/_vti_bin/owssvr.dll?бла-бла-бла
это добрые люди ищут уязвимости в нашем движке (видимо с целью сообщить вам об этом))
Проблем с этим особых нет кроме паразитного трафика, и дополнительных обращений к БД которые так не любят друпаллеры.
Я решил для себя эту проблему так:
В файле .htaccess после

<IfModule mod_rewrite.c>
 RewriteEngine on

добавил

RewriteCond %{THE_REQUEST} _vti_bin [NC,OR]
RewriteCond %{THE_REQUEST} MSOffice [NC]
RewriteRule ^.*$ hacker.html [L]

В корень сайта положил файл hacker.html с поздравлением для тех кто его будет читать.
Остался один вопрос, что значит если запрос к этим файлом идет от зарегистрированного пользователя.

Комментарии

Аватар пользователя SadhooKlay SadhooKlay (не проверено) 10 января 2007 в 2:01

Когда я столкнулся точно с такой же проблемой, а перерубил ip адреса в .htaccess и запретил запрашивать страницы по злосчастному запросу.

Отверт на вопрос: видимо программное обеспечение на машине пользователя стоит, мягко говоря не добросовестное.

Аватар пользователя Shedko Shedko 10 января 2007 в 5:44

У меня тоже такие записи регулярно появляются на сайте, а что интересно, что на eng версии того же сайта таких записей нет.
Не знаю может только "наши" любят "помучать" сервера на которые заходят

Аватар пользователя marazmus marazmus 10 января 2007 в 7:43

Quote:
Остался один вопрос, что значит если запрос к этим файлом идет от зарегистрированного пользователя.

99% - на машине юзера висит троян, т.е. его машина - "зомби". И скорее всего, зарегенный юзер об этом и не подозревает. Троян просто сканирует все сайты, которые посещает человек.

Аватар пользователя Krotty@drupal.org Krotty@drupal.org 10 января 2007 в 10:43

Гм... Граждане, товарищи и господа! Все гораздо проще.
Это не троян, это на хосте клиента установлен MS Office с поддержкой Microsoft Office Server Extensions (серверных расширений MS Office) и IE ищет на каждом из посещенных сайтов Discussion Groups. Wink

Аватар пользователя Igor-san Igor-san 15 января 2007 в 10:47

Люди стали слишком пугливы. Пусть зайдут на свой сайт, в ИЕ нажмут кнопку "Обсудить" - и после проанализируют логи.

Аватар пользователя Skiv Skiv 8 января 2008 в 16:27

могу сделать хостинг позвони москва 4921067 или 8917 537-39-05
возможно бесплатно для тебя - у меня платный хостинг