Помогите проанализировать логи

0 Пользователей и 1 Гость просматривают эту тему.
  • 6 Ответов
  • 617 Просмотров
*

Polosatyi

  • Осваиваюсь на форуме
  • ***
  • 116
  • 3
Помогите пожалуйста проанализировать вот эти несколько логов доступа к сайту.

Есть 3 вопроса:

1. Первая пачка логов с IP 87.106.157.75 - что делал это джава-бот?
Зачем он делал запросы типа "GET /media/jui/js/==typeof%20a&&!wa.test(a)&&(l.htmlSerialize||!ua.test(a))&&(l.le ....." ?

2. Вторая и четвертая пачки логов - что означают все эти названия посторонних доменов порнухи?  Откуда они берутся во время запросов?

3. Третья пачка логов с IP 162.246.17.76  - это попытка анализа сайта с целью дальнейшего взлома? А почему в строке 29 на запрос главной страницы получен ответ 301?

Спасибо!

Код
Feb  3 00:29:07 abby apache_access: my-site.ru 87.106.157.75 - - [03/Feb/2017:00:29:07 +0300] "GET / HTTP/1.0" 200 26103 "-" "Java/1.6.0_04"
Feb  3 00:29:07 abby apache_access: my-site.ru 87.106.157.75 - - [03/Feb/2017:00:29:07 +0300] "GET /dupleksy HTTP/1.0" 200 31518 "-" "Java/1.6.0_04"
Feb  3 00:29:08 abby apache_access: my-site.ru 87.106.157.75 - - [03/Feb/2017:00:29:08 +0300] "GET /foto HTTP/1.0" 200 26668 "-" "Java/1.6.0_04"
Feb  3 00:29:08 abby apache_access: my-site.ru 87.106.157.75 - - [03/Feb/2017:00:29:08 +0300] "GET /genplan HTTP/1.0" 200 27832 "-" "Java/1.6.0_04"
Feb  3 00:29:08 abby apache_access: my-site.ru 87.106.157.75 - - [03/Feb/2017:00:29:08 +0300] "GET /kontakty HTTP/1.0" 200 23174 "-" "Java/1.6.0_04"
Feb  3 00:29:09 abby apache_access: my-site.ru 87.106.157.75 - - [03/Feb/2017:00:29:09 +0300] "GET /kottedzhi HTTP/1.0" 200 32746 "-" "Java/1.6.0_04"
Feb  3 00:29:09 abby apache_access: my-site.ru 87.106.157.75 - - [03/Feb/2017:00:29:09 +0300] "GET /otdelka HTTP/1.0" 200 29982 "-" "Java/1.6.0_04"
Feb  3 00:29:09 abby apache_access: my-site.ru 87.106.157.75 - - [03/Feb/2017:00:29:09 +0300] "GET /skhema-proezda HTTP/1.0" 200 17725 "-" "Java/1.6.0_04"
Feb  3 00:29:10 abby apache_access: my-site.ru 87.106.157.75 - - [03/Feb/2017:00:29:09 +0300] "GET /tseny HTTP/1.0" 200 20350 "-" "Java/1.6.0_04"
Feb  3 00:29:11 abby apache_access: my-site.ru 87.106.157.75 - - [03/Feb/2017:00:29:11 +0300] "GET /media/jui/js/).length,l.html5Clone= HTTP/1.0" 404 9944 "-" "Java/1.6.0_04"
Feb  3 00:29:11 abby apache_access: my-site.ru 87.106.157.75 - - [03/Feb/2017:00:29:11 +0300] "GET /media/jui/js/).length,l.htmlSerialize=!!a.getElementsByTagName( HTTP/1.0" 404 9944 "-" "Java/1.6.0_04"
Feb  3 00:29:11 abby apache_access: my-site.ru 87.106.157.75 - - [03/Feb/2017:00:29:11 +0300] "GET /media/jui/js/)},clone:function(a,b,c){var%20d,e,f,g,h,i=n.contains(a.ownerDocument,a);if(l.html5Clone||n.isXMLDoc(a)||!ua.test( HTTP/1.0" 404 9944 "-" "Java/1.6.0_04"
Feb  3 00:29:11 abby apache_access: my-site.ru 87.106.157.75 - - [03/Feb/2017:00:29:11 +0300] "GET /media/jui/js/,data:b}).done(function(a){f=arguments,g.html(d?n( HTTP/1.0" 404 9944 "-" "Java/1.6.0_04"
Feb  3 00:29:12 abby apache_access: my-site.ru 87.106.157.75 - - [03/Feb/2017:00:29:12 +0300] "GET /media/jui/js/==typeof%20a&&!wa.test(a)&&(l.htmlSerialize||!ua.test(a))&&(l.leadingWhitespace||!aa.test(a))&&!da[($.exec(a)||[ HTTP/1.0" 404 9944 "-" "Java/1.6.0_04"
Feb  3 00:29:12 abby apache_access: my-site.ru 87.106.157.75 - - [03/Feb/2017:00:29:12 +0300] "GET /media/jui/js/])[1].toLowerCase(),m=da[j]||da._default,i.innerHTML=m[1]+n.htmlPrefilter(g)+m[2],f=m[0];while(f--)i=i.lastChild;if(!l.leadingWhitespace&&aa.test(g)&&q.push(b.createTextNode(aa.exec(g)[0])),!l.tbody){g= HTTP/1.0" 404 9944 "-" "Java/1.6.0_04"
Feb  3 00:29:12 abby apache_access: my-site.ru 87.106.157.75 - - [03/Feb/2017:00:29:12 +0300] "GET /media/jui/js/],_default:l.htmlSerialize?[0, HTTP/1.0" 404 9944 "-" "Java/1.6.0_04"
Feb  3 00:29:13 abby apache_access: my-site.ru 87.106.157.75 - - [03/Feb/2017:00:29:12 +0300] "GET /modules/mod_klixo_particles/js/'+this.options.content+' HTTP/1.0" 404 9944 "-" "Java/1.6.0_04"
Feb  3 00:29:16 abby apache_access: my-site.ru 87.106.157.75 - - [03/Feb/2017:00:29:16 +0300] "GET /modules/mod_klixo_particles/js/:1000+f,top:d,left:e}).html( HTTP/1.0" 404 9944 "-" "Java/1.6.0_04"


Feb  3 02:07:34 abby apache_access: my-site.ru 62.65.39.20 - - [03/Feb/2017:02:07:34 +0300] "GET / HTTP/1.0" 200 26103 "http://ramillion.com/" "Mozilla/5.0 (compatible; U; DataMiner/3.14; +http://ramillion.com)"
Feb  3 02:16:39 abby apache_access: www.my-site.ru 79.137.223.57 - - [03/Feb/2017:02:16:39 +0300] "GET / HTTP/1.0" 301 236 "http://regidium.ru/" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.36"
Feb  3 02:16:40 abby apache_access: my-site.ru 79.137.223.57 - - [03/Feb/2017:02:16:40 +0300] "GET / HTTP/1.0" 200 26103 "http://regidium.ru/" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.36"
Feb  3 02:59:00 abby apache_access: my-site.ru 46.118.112.219 - - [03/Feb/2017:02:59:00 +0300] "GET / HTTP/1.0" 200 26103 "http://krasivoe-hd.net/" "Mozilla/4.0 (compatible; MSIE 4.01; Digital AlphaServer 1000A 4/233; Windows NT; Powered By 64-Bit Alpha Processor)"
Feb  3 03:54:44 abby apache_access: my-site.ru 178.137.91.248 - - [03/Feb/2017:03:54:44 +0300] "GET / HTTP/1.0" 200 26103 "http://zakonobosago.ru/" "Mozilla/4.0 (compatible; MSIE 5.0; Windows 3.1)"
Feb  3 03:54:47 abby apache_access: my-site.ru 178.137.91.248 - - [03/Feb/2017:03:54:47 +0300] "GET / HTTP/1.0" 200 26103 "http://zakonobosago.ru/" "Mozilla/4.0 (compatible; MSIE 5.0; Windows 3.1)"


Feb  3 05:44:28 abby apache_access: www.my-site.ru 162.246.17.76 - - [03/Feb/2017:05:44:28 +0300] "GET / HTTP/1.0" 301 236 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.75 Safari/537.36 OPR/36.0.2130.32"
Feb  3 05:44:28 abby apache_access: www.my-site.ru 162.246.17.76 - - [03/Feb/2017:05:44:28 +0300] "GET /xmlrpc.php?rsd HTTP/1.0" 301 249 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.75 Safari/537.36 OPR/36.0.2130.32"
Feb  3 05:44:29 abby apache_access: www.my-site.ru 162.246.17.76 - - [03/Feb/2017:05:44:29 +0300] "GET /blog/robots.txt HTTP/1.0" 301 245 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.75 Safari/537.36 OPR/36.0.2130.32"
Feb  3 05:44:29 abby apache_access: www.my-site.ru 162.246.17.76 - - [03/Feb/2017:05:44:29 +0300] "GET /blog/ HTTP/1.0" 301 245 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.75 Safari/537.36 OPR/36.0.2130.32"
Feb  3 05:44:29 abby apache_access: www.my-site.ru 162.246.17.76 - - [03/Feb/2017:05:44:29 +0300] "GET /wordpress/ HTTP/1.0" 301 245 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.75 Safari/537.36 OPR/36.0.2130.32"
Feb  3 05:44:29 abby apache_access: www.my-site.ru 162.246.17.76 - - [03/Feb/2017:05:44:29 +0300] "GET /wp/ HTTP/1.0" 301 245 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.75 Safari/537.36 OPR/36.0.2130.32"
Feb  3 05:44:30 abby apache_access: www.my-site.ru 162.246.17.76 - - [03/Feb/2017:05:44:30 +0300] "GET /index.php?option=com_myblog&task=ajaxupload HTTP/1.0" 301 283 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.75 Safari/537.36 OPR/36.0.2130.32"
Feb  3 05:44:30 abby apache_access: www.my-site.ru 162.246.17.76 - - [03/Feb/2017:05:44:30 +0300] "GET /index.php?option=com_adsmanager&task=upload&tmpl=component HTTP/1.0" 301 302 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.75 Safari/537.36 OPR/36.0.2130.32"

Feb  3 06:13:54 abby apache_access: my-site.ru 46.119.116.139 - - [03/Feb/2017:06:13:54 +0300] "GET / HTTP/1.0" 200 26103 "http://odintsovo.xxxrus.org/" "Mozilla/1.22 (compatible; MSIE 2.0; Windows 95)"
Feb  3 06:13:55 abby apache_access: my-site.ru 46.119.116.139 - - [03/Feb/2017:06:13:55 +0300] "GET / HTTP/1.0" 200 26103 "http://odintsovo.xxxrus.org/" "Mozilla/1.22 (compatible; MSIE 2.0; Windows 95)"
Feb  3 06:32:12 abby apache_access: my-site.ru 62.65.39.20 - - [03/Feb/2017:06:32:12 +0300] "GET / HTTP/1.0" 200 26103 "http://ramillion.com/" "Mozilla/5.0 (compatible; U; DataMiner/3.14; +http://ramillion.com)"
Feb  3 06:36:00 abby apache_access: my-site.ru 178.137.161.164 - - [03/Feb/2017:06:36:00 +0300] "GET / HTTP/1.0" 200 26103 "http://www.puzzleweb.ru/" "Mozilla/1.22 (compatible; MSIE 2.0; Windows 95)"
Feb  3 08:56:40 abby apache_access: my-site.ru 46.48.13.161 - - [03/Feb/2017:08:56:40 +0300] "GET / HTTP/1.0" 200 26103 "http://kolxos.net/www.my-site.ru" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36"
Feb  3 09:15:54 abby apache_access: my-site.ru 46.118.112.219 - - [03/Feb/2017:09:15:53 +0300] "GET / HTTP/1.0" 200 26103 "http://fatmaelgarny.com/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322) NS8/0.9.6"

« Последнее редактирование: 03.02.2017, 19:47:09 от Polosatyi »

*

Polosatyi

  • Осваиваюсь на форуме
  • ***
  • 116
  • 3
Re: Помогите проанализировать логи
« Ответ #1 : 03.02.2017, 19:46:29 »
И еще вопрос - правильно ли запретить доступ джава-ботам вот такой вот записью в htaccess? -

RewriteCond %{HTTP_USER_AGENT} Java.*
RewriteRule ^/(.*)$ /$1 [F]

*

ProtectYourSite

  • Живу я здесь
  • ******
  • 853
  • 48
Re: Помогите проанализировать логи
« Ответ #2 : 03.02.2017, 22:28:03 »
1. Видимо немного корявый бот сканирования сайт на уязвимости.
2. Это поле реферер - типов откуда посетитель зашёл, на деле его легко подменить. Сейчас участились случаи такой имитации, для каких целей делают хм, возможно, чтобы зашли любознательные.
3. Я бы отнести это больше к crawler - программа выискивать интересные файлы и строит структуру. Почему 301 - это вопрос к настройкам вашего сайта и сервера в целом.

*

winstrool

  • Завсегдатай
  • *****
  • 758
  • 39
  • Свободен для работы
Re: Помогите проанализировать логи
« Ответ #3 : 03.02.2017, 22:34:41 »
Так полагаю что редирект, обратите внимание:
Цитировать
Feb  3 02:07:34 abby apache_access: my-site.ru 62.65.39.20 - - [03/Feb/2017:02:07:34 +0300] "GET / HTTP/1.0" 200 26103 "http://ramillion.com/" "Mozilla/5.0 (compatible; U; DataMiner/3.14; +http://ramillion.com)"
Feb  3 02:16:39 abby apache_access: www.my-site.ru 79.137.223.57 - - [03/Feb/2017:02:16:39 +0300] "GET / HTTP/1.0" 301 236 "http://regidium.ru/" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.36"
Feb  3 02:16:40 abby apache_access: my-site.ru 79.137.223.57 - - [03/Feb/2017:02:16:40 +0300] "GET / HTTP/1.0" 200 26103 "http://regidium.ru/" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.36"
Был из за перенаправляения с www.my-site.ru на my-site.ru
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям

*

Polosatyi

  • Осваиваюсь на форуме
  • ***
  • 116
  • 3
Re: Помогите проанализировать логи
« Ответ #4 : 04.02.2017, 00:38:23 »
1. Видимо немного корявый бот сканирования сайт на уязвимости.
2. Это поле реферер - типов откуда посетитель зашёл, на деле его легко подменить. Сейчас участились случаи такой имитации, для каких целей делают хм, возможно, чтобы зашли любознательные.
3. Я бы отнести это больше к crawler - программа выискивать интересные файлы и строит структуру. Почему 301 - это вопрос к настройкам вашего сайта и сервера в целом.
Спасибо!
А как думаете - такие плохие рефереры в логах не могут ухудшить выдачу сайта в поисковиках? Поисковики не могут подумать что ссылки на сайт действительно существуют на этих плохих сайтах?


Так полагаю что редирект, обратите внимание:Был из за перенаправляения с www.my-site.ru на my-site.ru

Да, точно, настроен 301 редирект с www на без www, спасибо! Подскажите пожалуйста, а если происходит такой редирект, то почему в разных случаях сервер отдает разное количество байт в ответ - 236, 249, 245...? А сервер не должен отдавать такое же количество байт, которое отдает при прямом заходе на страницу, на которую настроен редирект?  Извиняюсь если задаю глупые вопросы, только начинаю разбираться с этой темой...

*

winstrool

  • Завсегдатай
  • *****
  • 758
  • 39
  • Свободен для работы
Re: Помогите проанализировать логи
« Ответ #5 : 04.02.2017, 04:05:41 »
К примеру редирект выдал Вам минимальный код для редиректа в количестве  236 байт, а оригинал в количестве 26103, что соответствует полноценной интерпретированной Вашей странице. В первом случае размер кода который редиректит в заголовках.
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям

*

ProtectYourSite

  • Живу я здесь
  • ******
  • 853
  • 48
Re: Помогите проанализировать логи
« Ответ #6 : 04.02.2017, 13:15:44 »
Не испортят эти реферы выдачу, тем более тот же Google утверждает, что не учитывает поведенческий фактор в ранжировании.