Dziwny ruch na serwerze

[cody3223]

<

<

<

<

<

<

<

<

<

<

<

<

<

<

<

<

<

<

Cześć, długo mnie nie było, a jak zawitałem na access log mego VPS'a to widzę takie coś:

37.187.200.129 - - [12/Jun/2015:03:46:31 +0200] "GET /mysql HTTP/1.1" 404 162 "-" "Python-urllib/2.7"
37.187.200.129 - - [12/Jun/2015:03:46:32 +0200] "GET /sql HTTP/1.1" 404 162 "-" "Python-urllib/2.7"
37.187.200.129 - - [12/Jun/2015:03:46:34 +0200] "GET /myadmin HTTP/1.1" 404 162 "-" "Python-urllib/2.7"
37.187.200.129 - - [12/Jun/2015:03:46:35 +0200] "GET /phpMyAdmin-4.2.1-all-languages HTTP/1.1" 404 162 "-" "Python-urllib/2.7"
37.187.200.129 - - [12/Jun/2015:03:46:37 +0200] "GET /phpMyAdmin-4.2.1-english HTTP/1.1" 404 162 "-" "Python-urllib/2.7"
37.187.200.129 - - [12/Jun/2015:03:46:39 +0200] "GET / HTTP/1.1" 200 222 "-" "Python-urllib/2.7"
37.187.200.129 - - [12/Jun/2015:03:46:41 +0200] "GET /sqlite/main.php HTTP/1.1" 404 162 "-" "Python-urllib/2.7"
37.187.200.129 - - [12/Jun/2015:03:46:42 +0200] "GET /SQLite/SQLiteManager-1.2.4/main.php HTTP/1.1" 404 162 "-" "Python-urllib/2.7"
37.187.200.129 - - [12/Jun/2015:03:46:43 +0200] "GET /SQLiteManager-1.2.4/main.php HTTP/1.1" 404 162 "-" "Python-urllib/2.7"
37.187.200.129 - - [12/Jun/2015:03:46:44 +0200] "GET /sqlitemanager/main.php HTTP/1.1" 404 162 "-" "Python-urllib/2.7"
37.187.200.129 - - [12/Jun/2015:03:46:45 +0200] "GET /SQlite/main.php HTTP/1.1" 404 162 "-" "Python-urllib/2.7"
37.187.200.129 - - [12/Jun/2015:03:46:48 +0200] "GET /SQLiteManager/main.php HTTP/1.1" 404 162 "-" "Python-urllib/2.7"
54.91.152.192 - - [12/Jun/2015:04:21:30 +0200] "HEAD / HTTP/1.1" 200 0 "-" "Cloud mapping experiment. Contact [email protected]"
54.91.152.192 - - [12/Jun/2015:04:21:31 +0200] "GET /clientaccesspolicy.xml HTTP/1.1" 404 162 "-" "Cloud mapping experiment. Contact [email protected]"
23.20.154.145 - - [12/Jun/2015:06:22:27 +0200] "HEAD / HTTP/1.1" 200 0 "-" "Cloud mapping experiment. Contact [email protected]"
23.20.154.145 - - [12/Jun/2015:06:22:27 +0200] "GET /clientaccesspolicy.xml HTTP/1.1" 404 162 "-" "Cloud mapping experiment. Contact [email protected]"
104.217.180.13 - - [12/Jun/2015:08:01:50 +0200] "GET / HTTP/1.1" 200 222 "-" "-"
54.227.142.199 - - [12/Jun/2015:08:19:49 +0200] "HEAD / HTTP/1.1" 200 0 "-" "Cloud mapping experiment. Contact [email protected]"
54.227.142.199 - - [12/Jun/2015:08:19:50 +0200] "GET /clientaccesspolicy.xml HTTP/1.1" 404 162 "-" "Cloud mapping experiment. Contact [email protected]"
8.47.76.109 - - [11/Jun/2015:22:20:50 +0200] "GET /wp/wp-login.php HTTP/1.1" 404 162 "-" "Python-urllib/2.6"
78.47.76.109 - - [11/Jun/2015:22:20:50 +0200] "GET /blog/wp-login.php HTTP/1.1" 404 162 "-" "Python-urllib/2.6"
78.47.76.109 - - [11/Jun/2015:22:20:50 +0200] "GET /Wordpress/wp-login.php HTTP/1.1" 404 162 "-" "Python-urllib/2.6"
78.47.76.109 - - [11/Jun/2015:22:20:50 +0200] "GET /Blog/wp-login.php HTTP/1.1" 404 162 "-" "Python-urllib/2.6"
54.90.116.27 - - [11/Jun/2015:22:23:47 +0200] "HEAD / HTTP/1.1" 200 0 "-" "Cloud mapping experiment. Contact [email protected]"
54.90.116.27 - - [11/Jun/2015:22:23:47 +0200] "GET /clientaccesspolicy.xml HTTP/1.1" 404 162 "-" "Cloud mapping experiment. Contact [email protected]"
54.225.5.40 - - [12/Jun/2015:00:24:05 +0200] "HEAD / HTTP/1.1" 200 0 "-" "Cloud mapping experiment. Contact [email protected]"
54.225.5.40 - - [12/Jun/2015:00:24:05 +0200] "GET /clientaccesspolicy.xml HTTP/1.1" 404 162 "-" "Cloud mapping experiment. Contact [email protected]"
54.80.108.140 - - [12/Jun/2015:02:24:51 +0200] "HEAD / HTTP/1.1" 200 0 "-" "Cloud mapping experiment. Contact [email protected]"
54.80.108.140 - - [12/Jun/2015:02:24:51 +0200] "GET /clientaccesspolicy.xml HTTP/1.1" 404 162 "-" "Cloud mapping experiment. Contact [email protected]"
104.217.180.13 - - [12/Jun/2015:02:27:12 +0200] "GET / HTTP/1.1" 200 222 "-" "-"
37.187.200.129 - - [12/Jun/2015:03:46:02 +0200] "GET / HTTP/1.1" 200 222 "-" "Python-urllib/2.7"
37.187.200.129 - - [12/Jun/2015:03:46:03 +0200] "GET /script HTTP/1.1" 404 162 "-" "Python-urllib/2.7"
37.187.200.129 - - [12/Jun/2015:03:46:06 +0200] "GET /jenkins/script HTTP/1.1" 404 162 "-" "Python-urllib/2.7"
37.187.200.129 - - [12/Jun/2015:03:46:07 +0200] "GET /hudson/script HTTP/1.1" 404 162 "-" "Python-urllib/2.7"
37.187.200.129 - - [12/Jun/2015:03:46:08 +0200] "GET /login HTTP/1.1" 404 162 "-" "Python-urllib/2.7"
37.187.200.129 - - [12/Jun/2015:03:46:09 +0200] "GET /jenkins/login HTTP/1.1" 404 162 "-" "Python-urllib/2.7"
37.187.200.129 - - [12/Jun/2015:03:46:10 +0200] "GET /hudson/login HTTP/1.1" 404 162 "-" "Python-urllib/2.7"
37.187.200.129 - - [12/Jun/2015:03:46:11 +0200] "GET /jmx-console HTTP/1.1" 404 162 "-" "Python-urllib/2.7"
37.187.200.129 - - [12/Jun/2015:03:46:14 +0200] "GET /manager/html HTTP/1.1" 404 162 "-" "Python-urllib/2.7"
37.187.200.129 - - [12/Jun/2015:03:46:15 +0200] "GET /msd HTTP/1.1" 404 162 "-" "Python-urllib/2.7"
37.187.200.129 - - [12/Jun/2015:03:46:16 +0200] "GET /mySqlDumper HTTP/1.1" 404 162 "-" "Python-urllib/2.7"
37.187.200.129 - - [12/Jun/2015:03:46:17 +0200] "GET /msd1.24stable HTTP/1.1" 404 162 "-" "Python-urllib/2.7"
37.187.200.129 - - [12/Jun/2015:03:46:19 +0200] "GET /msd1.24.4 HTTP/1.1" 404 162 "-" "Python-urllib/2.7"
37.187.200.129 - - [12/Jun/2015:03:46:21 +0200] "GET /mysqldumper HTTP/1.1" 404 162 "-" "Python-urllib/2.7"
37.187.200.129 - - [12/Jun/2015:03:46:22 +0200] "GET /MySQLDumper HTTP/1.1" 404 162 "-" "Python-urllib/2.7"
37.187.200.129 - - [12/Jun/2015:03:46:24 +0200] "GET /mysql HTTP/1.1" 404 162 "-" "Python-urllib/2.7"
37.187.200.129 - - [12/Jun/2015:03:46:25 +0200] "GET /sql HTTP/1.1" 404 162 "-" "Python-urllib/2.7"
37.187.200.129 - - [12/Jun/2015:03:46:28 +0200] "GET /phpmyadmin HTTP/1.1" 404 162 "-" "Python-urllib/2.7"
37.187.200.129 - - [12/Jun/2015:03:46:29 +0200] "GET /phpMyAdmin HTTP/1.1" 404 162 "-" "Python-urllib/2.7"
37.187.200.129 - - [12/Jun/2015:03:46:31 +0200] "GET /mysql HTTP/1.1" 404 162 "-" "Python-urllib/2.7"
37.187.200.129 - - [12/Jun/2015:03:46:32 +0200] "GET /sql HTTP/1.1" 404 162 "-" "Python-urllib/2.7"
54.81.116.72 - - [11/Jun/2015:16:24:02 +0200] "HEAD / HTTP/1.1" 200 0 "-" "Cloud mapping experiment. Contact [email protected]"
54.81.116.72 - - [11/Jun/2015:16:24:02 +0200] "GET /clientaccesspolicy.xml HTTP/1.1" 404 162 "-" "Cloud mapping experiment. Contact [email protected]"
54.80.118.181 - - [11/Jun/2015:18:20:15 +0200] "HEAD / HTTP/1.1" 200 0 "-" "Cloud mapping experiment. Contact [email protected]"
54.80.118.181 - - [11/Jun/2015:18:20:15 +0200] "GET /clientaccesspolicy.xml HTTP/1.1" 404 162 "-" "Cloud mapping experiment. Contact [email protected]"
104.217.180.13 - - [11/Jun/2015:20:11:57 +0200] "GET / HTTP/1.1" 200 222 "-" "-"
54.80.128.131 - - [11/Jun/2015:20:22:23 +0200] "HEAD / HTTP/1.1" 200 0 "-" "Cloud mapping experiment. Contact [email protected]"
54.80.128.131 - - [11/Jun/2015:20:22:24 +0200] "GET /clientaccesspolicy.xml HTTP/1.1" 404 162 "-" "Cloud mapping experiment. Contact [email protected]"
78.47.76.109 - - [11/Jun/2015:22:20:48 +0200] "GET /jmx-console HTTP/1.1" 404 162 "-" "Python-urllib/2.6"
78.47.76.109 - - [11/Jun/2015:22:20:48 +0200] "GET /script HTTP/1.1" 404 162 "-" "Python-urllib/2.6"
78.47.76.109 - - [11/Jun/2015:22:20:48 +0200] "GET /jenkins/script HTTP/1.1" 404 162 "-" "Python-urllib/2.6"
78.47.76.109 - - [11/Jun/2015:22:20:48 +0200] "GET /hudson/script HTTP/1.1" 404 162 "-" "Python-urllib/2.6"
78.47.76.109 - - [11/Jun/2015:22:20:48 +0200] "GET /login HTTP/1.1" 404 162 "-" "Python-urllib/2.6"

Z czego prawie wszystko to 404, albo próbują się włamać do /wp-login.php którego nie mam (bo nie mam wordpress)

Czy da się jakoś ograniczyć ilość Error-404 np. za pomocą Fail2Ban dla danego IP?

 

(wybaczcie za błędy, ale jestem nieprzyzwyczajony do innej klawiatury na której jestem)

[Werran]

Z tego co wiem to Fail2Ban ma opcje manualnego banowania użytkowników

set <JAIL> banip <IP>
set <JAIL> unbanip <IP>

To w dalszej części nie blokuje natrętnego użytkownika bo nadal może korzystać z proxy itd. Poza tym, manualnym przeciwdziałaniem prędzej oszalejesz niż dojdziesz do rozwiązania problemu. Mimo wszystko takie rozwiązanie może się przydać w walce przeciw gimbazie, która bawi sie w 1337.

[cody3223]

Z tego co wiem to Fail2Ban ma opcje manualnego banowania użytkowników

set <JAIL> banip <IP>
set <JAIL> unbanip <IP>

To w dalszej części nie blokuje natrętnego użytkownika bo nadal może korzystać z proxy itd. Poza tym, manualnym przeciwdziałaniem prędzej oszalejesz niż dojdziesz do rozwiązania problemu. Mimo wszystko takie rozwiązanie może się przydać w walce przeciw gimbazie, która bawi sie w 1337.

A jest jakiś program (etc.) który mógł by zablokować taki ruch?

[cody3223]

@ref

+ na razie trochę śmieszkując zrobiłem przekierowanie /phpmyadmin, /wp-login.php, /sql na whichip.com, ale tak na serio to jak zrobić, aby osoba która próbuję uzyskać dostęp  do np. /sql, /phpmyadmin, /wp-login, /blog/wp-login.php wywalało automatucznie jej ip na amen? Tzn. tak jakby firewall blokował dostęp do serwera na to ip które próbuje uzyskać dostęp do /sql? da się tak?

 

+czy da się zablokować (znowuż na poziomie IP np. w firewall'u) Client "Cloud mapping experiment. Contact [email protected]" ?

[Mr Fan]

Po co chcesz blokować takie ip? To za pewne przeglądarka, która chciała zindeksować stronę, albo bot przeszukujący katalog, ale równie dobrze zwykły user może wbić na /sql. Serwer wywala mu 404, bo nie ma tam pliku index