Jump to content

Непонятная активность

edmsl
edmsl
in Invision Community 4 Support

Featured Replies

Posted
comment_193281

Сегодня посмотрел логи, а там ночью недавно зареганый пользователь 4 часа долбился по несуществующим адресам. Записи такого вида:

https://site.ru/7D8B79A2-8974-4D7B-A76A-F4F29624C06BxRdK58PDSzD3_oHGiF8P6ukzYbCRENeVlM_CmuNK-SSMo_4_OVg3p1PNi51BLULkQ5LvYnfJQG34mMOGCNikeA/init?url=https%3A%2F%2Frubarius.ru%2Ftopic%2F618-%D1%83%D1%81%D1%82%D0%B0%D0%BD%D0%BE%D0%B2%D0%BA%D0%B0-%D0%B8-%D0%BE%D0%B1%D1%81%D1%83%D0%B6%D0%B4%D0%B5%D0%BD%D0%B8%D0%B5-%D1%81%D0%B1%D0%BE%D1%80%D0%BA%D0%B8%2F&plugins=wsm%26wnt%26vs%26ua%26cb%26xhr_content&data={"data"%3A[{"plugin"%3A"wsm"%2C"parameters"%3A"{\"referrer\"%3A\"https%3A%2F%2Frubarius.ru%2F\"%2C\"stubId\"%3A\"\"}"}%2C{"plugin"%3A"wnt"%2C"parameters"%3A"{\"referrer\"%3A\"https%3A%2F%2Frubarius.ru%2F\"}"}%2C{"plugin"%3A"xhr_content"%2C"parameters"%3A"{\"referrer\"%3A\"https%3A%2F%2Frubarius.ru%2F\"}"}]}&isTopLevel=true&nocache=16d39

И постоянно разные запросы, штук по 10-15 в минуту, иногда реже. При этом один раз у него изменился ip адрес. В общей сложности больше 2000-х тысяч записей в логе.

Что это - зловредный бот? Или начинающий ддосер?

Edited by edmsl

  • Цитата
    • Link to comment
    https://ipbmafia.ru/topic/25667-neponyatnaya-aktivnost/
    Share on other sites
    comment_193282

     

  • Цитата
    • Link to comment
    https://ipbmafia.ru/topic/25667-neponyatnaya-aktivnost/?&do=findComment&comment=193282
    Share on other sites
    • Author
    comment_193283

    Интересно, как они подбирают сайты для атак. У нас активности и так практически нет давно.

  • Цитата
    • Link to comment
    https://ipbmafia.ru/topic/25667-neponyatnaya-aktivnost/?&do=findComment&comment=193283
    Share on other sites
    • Author
    comment_193284

    Проверил эти IP.

    AS25159, SONICDUO-AS - PJSC MegaFon

    Т.е. это адреса какого-то бота мегафона и все адреса AS25159 можно в бан, там не будет нормальных пользователей? Просто диапазон достаточно широкий.

  • Цитата
    • Link to comment
    https://ipbmafia.ru/topic/25667-neponyatnaya-aktivnost/?&do=findComment&comment=193284
    Share on other sites
    comment_193286
    2 часа назад, edmsl сказал:

    это адреса какого-то бота мегафона

    Кто-то настроил сервер и подключил его к интернету от Мегафона. Начни с блокировки по блоку IP адресов. А там посмотришь. Весь мегафон банить вряд ли стоит. 

    Нужный блок можешь найти тут: https://ipinfo.io/AS25159

  • Цитата
    • Link to comment
    https://ipbmafia.ru/topic/25667-neponyatnaya-aktivnost/?&do=findComment&comment=193286
    Share on other sites
    comment_193287
    6 часов назад, edmsl сказал:

    Или начинающий ддосер?

    Скорее всего один из твоих пользователей, решивший стать мамкиным хакером.

  • Цитата
    • Link to comment
    https://ipbmafia.ru/topic/25667-neponyatnaya-aktivnost/?&do=findComment&comment=193287
    Share on other sites
    • Author
    comment_193301

    Тут что-то часто мелькало упоминание некоего Хетцнер. Вчера вот 500 запросов от него.

    HETZNER-AS - Hetzner Online GmbH

    Это кто такие?

  • Цитата
    • Link to comment
    https://ipbmafia.ru/topic/25667-neponyatnaya-aktivnost/?&do=findComment&comment=193301
    Share on other sites
    comment_193302

    Известный дата-центр. Если по ASN пробивается hosting на https://ipinfo.io/, то можешь банить. Можешь у меня купить файл с 1500 дата-центрами для фаервола на Cloudflare. 

    Edited by Zero108

  • Цитата
    • Link to comment
    https://ipbmafia.ru/topic/25667-neponyatnaya-aktivnost/?&do=findComment&comment=193302
    Share on other sites

    Join the conversation

    You can post now and register later. If you have an account, sign in now to post with your account.
    Note: Your post will require moderator approval before it will be visible.

    Guest
    Ответить в этой теме...
    Go to topic listing

    Последние посетители 0

    • No registered users viewing this page.