Вирусный трафик

10 января 2007 в 1:31

dyp@drupal.org 0 10

Если у вас есть сайт на друпале (да и не только) то в логах скорее всего вы видите обращение к несуществующим страницам:
http://www.site.ru/MSOffice/cltreq.asp?бла-бла-бла
http://www.site.ru/_vti_bin/owssvr.dll?бла-бла-бла
это добрые люди ищут уязвимости в нашем движке (видимо с целью сообщить вам об этом))
Проблем с этим особых нет кроме паразитного трафика, и дополнительных обращений к БД которые так не любят друпаллеры.
Я решил для себя эту проблему так:
В файле .htaccess после

<IfModule mod_rewrite.c>

 RewriteEngine on

добавил

RewriteCond %{THE_REQUEST} _vti_bin [NC,OR] 

RewriteCond %{THE_REQUEST} MSOffice [NC] 

RewriteRule ^.*$ hacker.html [L]

В корень сайта положил файл hacker.html с поздравлением для тех кто его будет читать.
Остался один вопрос, что значит если запрос к этим файлом идет от зарегистрированного пользователя.

Блог
Войдите или зарегистрируйтесь, чтобы отправлять комментарии

У меня тоже такие записи регулярно появляются на сайте, а что интересно, что на eng версии того же сайта таких записей нет.
Не знаю может только "наши" любят "помучать" сервера на которые заходят

10 января 2007 в 5:44

Войдите или зарегистрируйтесь, чтобы отправлять комментарии
Реакции

marazmus 0

Quote:
Остался один вопрос, что значит если запрос к этим файлом идет от зарегистрированного пользователя.

99% - на машине юзера висит троян, т.е. его машина - "зомби". И скорее всего, зарегенный юзер об этом и не подозревает. Троян просто сканирует все сайты, которые посещает человек.

10 января 2007 в 7:43

Войдите или зарегистрируйтесь, чтобы отправлять комментарии
Реакции

Krotty@drupal.org 0

Гм... Граждане, товарищи и господа! Все гораздо проще.
Это не троян, это на хосте клиента установлен MS Office с поддержкой Microsoft Office Server Extensions (серверных расширений MS Office) и IE ищет на каждом из посещенных сайтов Discussion Groups.