Меню
Что нового?

apache access_log 127.0.0.1

$newProgrammer

Новичок
Добрый день! Помогите пожалуйста разобраться с безопасностью веб-сервера. Есть выделенный сервер, на нем сайт. В логах access_log apache увидел такие строки, они повторяются:
Код: 
127.0.0.1 - - [19/Mar/2018:15:24:50 +0300] "GET /wp/#wp-config.php# HTTP/1.0" 400 303 "-" "-"
...
127.0.0.1 - - [19/Mar/2018:16:17:34 +0300] "GET / HTTP/1.0" 400 422 "-" "muhstik/1.0"
...
127.0.0.1 - - [19/Mar/2018:16:17:35 +0300] "GET /webdav HTTP/1.0" 400 422 "-" "muhstik-scan/1.0"
Если в первой колонке идет адрес клиента, то получается сервер обращался сам к себе и на нем стоит не понятное ПО muhstik? Получается на сервере имеется какой-то вирус?
Поиск по muhstik выдает вот это:
https://github.com/phukd/muhstik/tree/master/muhstik
https://vms.drweb.ru/virus/?i=16470168

Система CentOs, точнее BitrixVM 7.1 (надеюсь никто не будет начинать религиозных войн по этому поводу). Если честно есть пробелы в знаниях, подскажите что еще нужно для полной картины? Есть apache, есть nginx, но логи nginx почему-то пустые или я не там смотрел :(
 
Последнее редактирование:
c0dex

c0dex

web.dev 2002-...
Команда форума
Партнер клуба
@$newProgrammer, да, тебя взломали, покайся.

PS: На самом деле тебя сканят, настрой fail2ban или что-то вроде и забудь. Этого не избежать.
 

$newProgrammer

Новичок
c0dex написал(а):
@$newProgrammer, да, тебя взломали, покайся.

PS: На самом деле тебя сканят, настрой fail2ban или что-то вроде и забудь. Этого не избежать.
Нажмите для раскрытия...
) Спасибо за совет. Но получается адрес 127.0.0.1 с которого пришел запрос поддельный? Вот только удалил вирусные файлы на которые указывали различные сканеры, через несколько дней некоторые файлы опять появились. Похоже все таки бреш в безопасности есть.
Кусочек кода одного из файлов:
Код: 
…kie("resolve_ids",$resolve_ids,time()+$cookie_cache_time,"/");}if($resolve_ids){ exec("cat /etc/passwd",$mat_passwd);exec("cat /etc/group",$mat_group);}$fm_colo
Интересно файл выше был добавлен 19.03.2018 в 1:42, а в логах apache на это время есть такие строки:
Код: 
185.205.210.189 - - [19/Mar/2018:01:42:11 +0300] "GET / HTTP/1.0" 301 305 "-" "-"
185.205.210.189 - - [19/Mar/2018:01:42:11 +0300] "GET / HTTP/1.0" 301 1 "-" "-"
185.205.210.189 - - [19/Mar/2018:01:42:12 +0300] "GET /index.php HTTP/1.0" 301 308 "-" "-"
185.205.210.189 - - [19/Mar/2018:01:42:12 +0300] "GET / HTTP/1.0" 200 330449 "-" "-"
185.205.210.189 - - [19/Mar/2018:01:42:13 +0300] "GET /restore.php HTTP/1.0" 302 92682 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36"
185.205.210.189 - - [19/Mar/2018:01:42:13 +0300] "GET /404.php HTTP/1.0" 404 112677 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36"
185.205.210.189 - - [19/Mar/2018:01:42:14 +0300] "GET /?key=ae75b7d6b48b3831ba0c9cdc226acdc48e HTTP/1.0" 200 2 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36"
185.205.210.189 - - [19/Mar/2018:01:42:14 +0300] "GET /restore.php?lang=ru&Step=1 HTTP/1.0" 200 73798 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36"
185.205.210.189 - - [19/Mar/2018:01:42:15 +0300] "POST /restore.php?lang=ru HTTP/1.0" 200 70505 "-" "-"
185.205.210.189 - - [19/Mar/2018:01:42:15 +0300] "POST /restore.php?lang=ru&Step=2 HTTP/1.0" 200 70941 "-" "-"
185.205.210.189 - - [19/Mar/2018:01:42:16 +0300] "POST /restore.php?lang=ru&Step=2 HTTP/1.0" 200 70516 "-" "-"
185.205.210.189 - - [19/Mar/2018:01:42:16 +0300] "GET /inbex.php?auto=y&action=patch HTTP/1.0" 200 29 "-" "-"
185.205.210.189 - - [19/Mar/2018:01:42:16 +0300] "GET /inbex.php?auto=y&action=fullclean HTTP/1.0" 200 2 "-" "-"
И самое интересно то, что /restore.php из корня я уже до этого удалял. А тут сервер отдает статус 200. На данный момент этого файла в корне нет, как и этого "inbex.php"
 
Последнее редактирование:
Фанат

Фанат

oncle terrible
Команда форума
Если в первой колонке идет адрес клиента, то получается сервер обращался сам к себе
Нажмите для раскрытия...
У тебя скорее всего стоит nginx перед апачем, и запросы идет с него
Получается на сервере имеется какой-то вирус?
Нажмите для раскрытия...
Если вирус УЖЕ на сервере, то ему не нужно действовать таким сложным путем.
 
Фанат

Фанат

oncle terrible
Команда форума
через несколько дней некоторые файлы опять появились.
Нажмите для раскрытия...
скорее всего эти записи в логе не имеют отношения к взлому.

взломали либо через дыру в софте, либо - что часто бывает - украли трояном пароли к ФТП с твоего рабочего компа
 

$newProgrammer

Новичок
понятно, спасибо, значит надо искать дыру в софте и рабочие компы проверить. Логи доступа к веб-серверу есть, получается еще нужно, как-то включить логирование операций с файлами. Даже появляется хреновое ощущение, что так просто берется и записывается левый файл в системную папку сайта.
 

AnrDaemon

Продвинутый новичок
Сначала надо выяснить конфигурацию системы.
Тут уже предложили один вариант вполне легального появления этих строк.
 
Войдите или зарегистрируйтесь для ответа.
Сверху