7 февраля 2009 в 1:15
Здравствуйте.
Эта информация может быть полезна и вам.
Проверял логи сайта которому примерно полгода, логи кроме постоянного выполнения cron.php анонимными пользователями содержали интересную ошибку
Home › Administer › Reports
Details
Тип php
Date Monday, December 29, 2008 - 15:23
User Anonymous
Location http://www.mysite.ru/logo.gif
Referrer http://www.mysite.ru/
Message Duplicate entry '7f00d781af446c79588b7b183126a5ba' for key 1 query: INSERT INTO sessions (sid, uid, cache, hostname, session, timestamp) VALUES ('7f00d781af446c79588b7b183126a5ba', 0, 0, '62.213.52.2', '', 1230551611) in /usr/home/mysite/domains/mysite.ru/public_html/includes/session.inc on line 73.
Severity error
Hostname 62.213.52.2
Действия
Details
Тип php
Date Monday, December 29, 2008 - 15:23
User Anonymous
Location http://www.mysite.ru/logo.gif
Referrer http://www.mysite.ru/
Message Duplicate entry '7f00d781af446c79588b7b183126a5ba' for key 1 query: INSERT INTO sessions (sid, uid, cache, hostname, session, timestamp) VALUES ('7f00d781af446c79588b7b183126a5ba', 0, 0, '62.213.52.2', '', 1230551611) in /usr/home/mysite/domains/mysite.ru/public_html/includes/session.inc on line 73.
Severity error
Hostname 62.213.52.2
Действия
Что понятно из лога:
1. ip ведёт на сайт www.kras.ru - сайт такой я не знаю и контора вроде серьёзная, значит кто-то из их конторы или кто-то из их клиентов пытался выполнить такой запрос;
2. атака на картинку - это что-то мне доселе неизвестное, кто сможет - поясните смысл;
3. кто-то выполняет крон каждые полчаса а то и чаще - я так понимаю это не очень опасно, т.к. файл крон блокируется до окончания текущего.
Подскажите, что означает такой частый крон, такой запрос на запись сессии и насколько это опасно?
Комментарии
крас - это интернет провайдер О крас
Напишите о проблеме на abuse@kras.ru и своему хостеру.
А с какого ip запускают крон? С локального, или с внешнего.
Спасибо. Из логов Друпала понятно только это:
Насколько я понимаю, то с чужого сайта идет запрос вашей картинки.
Проверьте есть ли такая картика в корне сайта. Если не нужна - удалить, потому что вся графика должна храниться в папке темы.
В друпал можно запретить прямое обращение к файлам с других серверов. Тоже самое можно сделать в панели управления хостингом (если нормальный хостинг). Таким образом прямой запрос картинки с другого сервера обрабатываться не будет - он не получит картинку.
Далее происходит ошибка (или с базой, или картинки нет) и его перекидывают на главную:
Все это похоже на попытку завладеть сессией суперадмина. Если сессия админа создана в базе, то у них ничего не получается, если же там не будет записи для админа, то возможно и получается...
В любом случае стоит обновить и друпал, и модули.
А также почитать про cross-site scripting (XSS), потому что, если вы ничего не мудрили на сайте, то запрос картинки не должен вызывать обращений к базе. Если же у вас работает какой-то скрипт, который ограничивает доступ к картинкам и проверяет по базе кто обращается, то стоит выяснить, почему он что-то туда вставляет...
Удачи! Опишите, чем все закончилось.
Отписываю, хостер сказал что ничего опасного нет, просто пытались что попало выполнять.
Случай единичный, друпал стойкий. Спасибо.
Там в логах еще много интересного, например:
пытаются зайти на адрес node/about, тогда как работает лишь адрес /about,
попытки открыть _vti_bin/owssvr.dll
MSOffice/cltreq.asp
engine/redirect.php
Мультикряк?
я у себя тоже нашел запись: _http://мойдомен.ru/_vti_bin/owssvr.dll?UL=1&ACT=4&BUILD=5606&STRMVER=4&CAPREQ=0
Это похоже на сканер, который проверяет что есть на сайте/сервере...
А у меня вот какая бяка.
Еррор 404 нет такой страницы. CSS.
2 sites/default/files/css/fc973fff4c9198d0f6e977e25a32 ...
2 sites/default/files/css/3deed707a98dea24abaa1ebecca0 ...
2 sites/default/files/css/87def2cba0769b8b515b3c67db53 ...
2 sites/default/files/css/8359c539745a2e67adf17fe18e5c ...
1 sites/default/files/css/9fdbccc2b6d79619b56dd31db991 ...
1 sites/default/files/css/e71017017c0a97a5ba7f1b05be80 ...
1 sites/default/files/css/1f1ac1569b8c88a2128a22c5bf97 ...
Что бы это значило. IP разные.
Один раз заметил, что такая фигня происходит когда пользователь кликает в поисковой системе Яшки на сохраненная копия
К вопросу о безопасности. Кликнул пару минут назад на раздел Семинары - Каспер заорал, что там какая-та картика с вирусом... Прям, сплошные ужасы!!!
Кстати, это первый случай за год юзанья этого многими не лубимого антивируса. Да, и вообще. Всегда интересно узнать, что-то новое о веб-страницах.
BETEР, это не ошибка и не атака, это просто друпал каждый раз стилевик сжимает и выдаёт под разными именами, то ли от кеширования, то ли от безопасности такое...
А когда сохраненная копия пытается обратиться к этому стилевику, его уже нет.
alexhttp, вы про какой сайт?
Каспер рулит, особенно новый KIS2009
kis - очень хороший антивирус, кстати.
не без греха, но я его тоже предпочитаю. личное мнение.
Странно, он у меня сжат 1 раз под конкретным именем.
Но факт, при просмотре кешеированной страницы в поисковике дизайна нет. Чисто голый текст отображается.
А что там в сжатом css может быть опасного?
1. потому и нет дизайна, потому что закешированное имя стилевика устарело ;]
2. нет там никакой опасности, просто в логи друпала адрес стилевика попадает со смыслом "ошибка доступа к несуществующему файлу", потому что когда загружают ту же яндекс-сохраненную копию, там адрес уже несуществующий.
Замкнутый круг, для стилей я юзаю простой и постоянный путь site.ru\css\css.css
Поругайте меня)