这是什么攻击？？我的log大量这样的记录

纯羊绒

本人用rh AS3 调了个路由+iptables 内网用win2k Server sp4版
apache 2.0.52作WEB服务器
外网为eth0 192.168.0.1
内网为eth1 192.168.0.2
2K服务器为 192.168.0.9
iptables配置如下。从论坛那拉下来的。完整不动


#!/bin/sh
# Enabling iptables rules
# Internet Configuration.
INET_IF="ppp0"
#外网网卡
EXT_IF="eth0"
#内网网卡
LAN_IF="eth1"
LAN_IP="192.168.0.1"
LAN_IP_RANGE="192.168.0.0/24"
TRUSTED_TCP_PORT="22 25 53 80 110 143 443 3128 6000 6001 6002 7100"
# your LAN's IP range and localhost IP. /24 means to only use the first 24
# bits of the 32 bit IP address. the same as netmask 255.255.255.0
# Localhost Configuration.
LO_IF="lo"
LO_IP="127.0.0.1"
#加载模块，有些已经内建，为了以防万一，还是加上了
# Module loading.
echo "modprobe modules"
modprobe ip_tables
modprobe ip_nat_ftp
modprobe ip_conntrack
modprobe ip_conntrack_ftp
# 规则初始化，设置为默认都为DROP
echo "Enabling iptables rules"
# Reset the default policies in the tables
iptables -F
iptables -X
iptables -F -t mangle
iptables -X -t mangle
iptables -F -t nat
iptables -X -t nat
iptables -Z -t nat
# Set policies
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
# 允许ping localhost,ping 192.168.0.1/2
# Allow loopback access
iptables -A INPUT -p icmp -i lo -j ACCEPT
iptables -A OUTPUT -p icmp -o lo -j ACCEPT
# 允许代理和内网客户机互相传输数据（包括ping）
# Allow ping LAN
iptables -A INPUT -p ALL -i $LAN_IF -s $LAN_IP_RANGE -j ACCEPT
iptables -A OUTPUT -p ALL -o $LAN_IF -d $LAN_IP_RANGE -j ACCEPT
# 允许外网的网卡与内网互相通讯。接收数据只接受响应封包，否则不予放行。发送数据没有限制。
# Allow ppp0
iptables -A INPUT -p ALL -i $INET_IF -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p ALL -o $INET_IF -j ACCEPT
# 建立用户定义的链
# Creat userspecified chains
iptables -N allowed
iptables -N tcp_packets
iptables -N bad_tcp_packets
iptables -N icmp_packets
# bad_tcp_packets规则链的作用是，将要求重新导向的联机记录起来，然后将封包丢弃（防止联机被绑架，但是会影响第三方交谈的服务，如MS Media Server）
# bad_tcp_packets chain
iptables -A bad_tcp_packets -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset
iptables -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "New not syn:"
iptables -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP
# allowed规则链的作用是：允许要求联机封包或响应封包进入，其余丢弃。
# allowed chain
iptables -A allowed -p tcp --syn -j ACCEPT
iptables -A allowed -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A allowed -p tcp -j DROP
# icmp_packets规则链的功能是：允许ping 封包进入，将其余封包丢弃。
# ICMP rules
iptables -A icmp_packets -p icmp -s 0/0 --icmp-type 8 -j ACCEPT
iptables -A icmp_packets -p icmp -s 0/0 --icmp-type 11 -j ACCEPT
# INPUT chain
# 进入防火墙主机的tcp封包必须先进行bad_tcp_packets过滤。但是有时候影响网络性能。
# first bad_tcp_packets filter
iptables -A INPUT -p tcp -j bad_tcp_packets
# 从外网进入防火墙主机的icmp封包必须先进行icmp_packets过滤。这是防止黑客传送不完整的ip封包，系统会响应icmp封包通知对方，导致主机位置被侦测出来。
# second icmp_packets filter
iptables -A INPUT -p icmp -i $INET_IF -j icmp_packets
# 打开信任的服务
# Open trusted ports
echo "Open trusted ports....."
iptables -N services
for PORT in $TRUSTED_TCP_PORT; do
iptables -A tcp_packets -s 0/0 -p tcp --dport $PORT -j allowed
done
iptables -A INPUT -p tcp -i $INET_IF -j tcp_packets
# 拒绝外部使用内网ip欺骗。
# deny local cheat
iptables -A INPUT -i $INET_IF -s 192.168.0.0/16 -j DROP
iptables -A INPUT -i $INET_IF -s 10.0.0.0/8 -j DROP
iptables -A INPUT -i $INET_IF -s 172.16.0.0/12 -j DROP
iptables -A INPUT -i $INET_IF -s 127.0.0.0/8 -j DROP
# 从LAN进入防火墙主机的DHCP封包，予以放行，只有当防火墙担任DHCP时才有用
# allow DHCP_packets from LAN
iptables -A INPUT -p udp -i $LAN_IF --dport 67 --sport 68 -j ACCEPT
# 限制过滤规则的比对频率为每分钟平均流量三个封包（超过上限的封包将暂停比对），并将瞬间流量设定为一次最多处理三个封包（超过上限的封包将丢弃不予处理），这类封包通常是黑客用来进行阻断式攻击　
iptables -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level INFO --log-prefix "IPT INPUT packets died:"

# FORWARD chain
# bad_tcp_packets filter
iptables -A FORWARD -p tcp -j bad_tcp_packets
# 从LAN到WAN的封包统统放行
iptables -A FORWARD -o $INET_IF -s $LAN_IP_RANGE -j ACCEPT
# same to above 和上面的规则功能相同
#iptables -A FORWARD -i $LAN_IF -s $LAN_IP_RANGE -j ACCEPT
# 从WAN到LAN的封包仅放行回应封包
iptables -A FORWARD -i $INET_IF -d $LAN_IP_RANGE -m state --state ESTABLISHED,RELATED -j ACCEPT
# 限制过滤规则的比对频率为每分钟平均流量三个封包（超过上限的封包将暂停比对），并将瞬间流量设定为一次最多处理三个封包（超过上限的封包将丢弃不予处理），这类封包通常是骇客用来进行阻断式攻击　
iptables -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT FORWARD packets died:"
# 一下是防止PING
iptables -A FORWARD -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT
iptables -A FORWARD -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT
# 防止DDOS
#iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
# UDP包一律放行
# allow UDP
iptables -A FORWARD -p udp -d $LAN_IP_RANGE -i $EXT_IF -j ACCEPT

echo "Enabling ADSL"
adsl-start


a.b.c.d为拨号后获取的IP地址

用root登陆后输入
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
iptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 80 -j DNAT --to 192.168.0.9
iptables -t nat -A POSTROUTING -d 192.168.0.1 -p tcp --dport 80 -j SNAT --to 192.168.0.2
把WEB服务映射到192.168.0.2

apache ACCESS log里面显示

192.168.0.2 - - [17/Oct/2004:21:23:27 +0800] "SEARCH /\x90\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1....后面省略。足足四五页啊。每隔一段时间就有这种记录

生成的accesslog.txt足足2.3MB。才六个小时啊。而且网址没有在网上公布的情况下

谁救救我啊。这是什么攻击啊。该怎么处理才好啊。QQ也不能上了。唉

Snoopy

会否自己的web页面在自己搜索某个东西呢 ？

纯羊绒

不会的。你没看到是192.168.0.2发送过来的。我上面已经注明是linux路由的内网网卡地址了。而且有次我关了iptables后，log上显示是外网IP地址。是不同的。有人知道这些记录是代表什么的吗？拜托了。要不然log不用十天就超巨大了

dato

晕，google了好多资源

结果关于这项log还是没办法让它禁止写入log，不知道哪里错了

SetEnvIf Request_URI "default\.ida" worm-log
SetEnvIf Request_URI "NULL\.IDA" worm-log
SetEnvIf Request_URI "root\.exe|cmd\.exe" worm-log
SetEnvIf Request_URI "SEARCH /\x90\x02\xb1" worm-log
SetEnvIf Request_Method "SEARCH" worm-log
SetEnvIf Request_URI "\.ida" worm-log
SetEnvIf Request_URI "/scripts" worm-log
SetEnvIf Request_URI "/c/winnt" worm-log
SetEnvIf Request_URI "/d/winnt" worm-log
SetEnvIf Request_URI "/_mem_bin" worm-log
SetEnvIf Request_URI "/_vti_bin" worm-log
SetEnvIf Request_URI "(.*)cmd\.exe" worm-log
SetEnvIf Request_URI "(.*)root\.exe" worm-log
SetEnvIf Request_URI "\.ida(.*)$"  worm-log
SetEnvifNoCase Request_URI "\/\x90\x02" worm-log
SetEnvIfNoCase Request_URI "/msadc" worm-log
SetEnvIf User-Agent "NetMechanic" worm-log
CustomLog logs/access_log common env=!worm-log
CustomLog logs/worm_log common env=worm-log

纯羊绒

？？不太明白你说的？

Snoopy

最初由 纯羊绒 发表
不会的。你没看到是192.168.0.2发送过来的。我上面已经注明是linux路由的内网网卡地址了。而且有次我关了iptables后，log上显示是外网IP地址。是不同的。有人知道这些记录是代表什么的吗？拜托了。要不然log不用十天就超巨大了

我在猜测的是，自己页面的问题，应该跟那个ip没多大关系

纯羊绒

httpdoc里只有一个intel.html和logo.jpg

页面什么也没写进去。只放了一个图片。何来页面有问题呢？而且刚开始的记录也没有这现象

纯羊绒

请直接访问我的网站。从现在开始一直开到晚上12:00。
http://leapstudio.kmip.net

我看应该页面没什么问题的吧

纯羊绒

在ERROR.log里显示这些。
[Mon Oct 18 16:03:29 2004] [error] [client 192.168.0.2] request failed: URI too long (longer than 8190)
[Mon Oct 18 16:04:02 2004] [error] [client 192.168.0.2] request failed: URI too long (longer than 8190)
[Mon Oct 18 16:07:15 2004] [error] [client 192.168.0.2] File does not exist: D:/Apache Group/Apache2/htdocs/NULL.IDA
[Mon Oct 18 16:07:20 2004] [error] [client 192.168.0.2] File does not exist: D:/Apache Group/Apache2/htdocs/NULL.IDA
[Mon Oct 18 16:07:25 2004] [error] [client 192.168.0.2] File does not exist: D:/Apache Group/Apache2/htdocs/NULL.IDA
[Mon Oct 18 16:07:33 2004] [error] [client 192.168.0.2] File does not exist: D:/Apache Group/Apache2/htdocs/NULL.IDA
[Mon Oct 18 16:07:38 2004] [error] [client 192.168.0.2] File does not exist: D:/Apache Group/Apache2/htdocs/NULL.IDA
[Mon Oct 18 16:07:47 2004] [error] [client 192.168.0.2] File does not exist: D:/Apache Group/Apache2/htdocs/NULL.IDA
[Mon Oct 18 16:07:52 2004] [error] [client 192.168.0.2] File does not exist: D:/Apache Group/Apache2/htdocs/NULL.IDA
[Mon Oct 18 16:07:57 2004] [error] [client 192.168.0.2] File does not exist: D:/Apache Group/Apache2/htdocs/NULL.IDA
[Mon Oct 18 16:08:02 2004] [error] [client 192.168.0.2] File does not exist: D:/Apache Group/Apache2/htdocs/NULL.IDA
[Mon Oct 18 16:08:07 2004] [error] [client 192.168.0.2] File does not exist: D:/Apache Group/Apache2/htdocs/NULL.IDA
[Mon Oct 18 16:08:12 2004] [error] [client 192.168.0.2] File does not exist: D:/Apache Group/Apache2/htdocs/NULL.IDA
[Mon Oct 18 16:08:17 2004] [error] [client 192.168.0.2] File does not exist: D:/Apache Group/Apache2/htdocs/NULL.IDA
[Mon Oct 18 16:08:22 2004] [error] [client 192.168.0.2] File does not exist: D:/Apache Group/Apache2/htdocs/NULL.IDA
[Mon Oct 18 16:08:27 2004] [error] [client 192.168.0.2] File does not exist: D:/Apache Group/Apache2/htdocs/NULL.IDA
[Mon Oct 18 16:08:32 2004] [error] [client 192.168.0.2] File does not exist: D:/Apache Group/Apache2/htdocs/NULL.IDA
[Mon Oct 18 16:08:38 2004] [error] [client 192.168.0.2] File does not exist: D:/Apache Group/Apache2/htdocs/NULL.IDA
[Mon Oct 18 16:09:41 2004] [error] [client 192.168.0.2] request failed: URI too long (longer than 8190)
[Mon Oct 18 16:09:43 2004] [error] [client 192.168.0.2] request failed: URI too long (longer than 8190)
[Mon Oct 18 16:10:41 2004] [error] [client 192.168.0.2] request failed: URI too long (longer than 8190)
[Mon Oct 18 16:12:22 2004] [error] [client 192.168.0.2] request failed: URI too long (longer than 8190)
[Mon Oct 18 16:12:29 2004] [error] [client 192.168.0.2] request failed: URI too long (longer than 8190)
[Mon Oct 18 16:12:46 2004] [error] [client 192.168.0.2] request failed: URI too long (longer than 8190)

星煌

对方应该是在尝试溢出吧，使用超长的url访问和一些特殊字符试探你的web server是否有漏洞，同时试探有没有未公开但可供访问的页面，我的apache2 server也时不时会有这样的log，但apache还是不错的，至少目前我没看出来有什么人能非法获得些特殊的东西

不管你有没有公开你的网站地址，只要你的机器放在公网上，并且开放了端口，就会有无数人“自愿自发”的蜂拥而至，先探测你的端口类型，然后用各种自己写的或者别人的工具来尝试进入，理解一下人家吧，呵