痞酷網_PIGOO

 取回密碼
 立即註冊
搜尋
檢視: 3997|回覆: 22

請有Linux 系統經驗的會員幫忙分析error_log

[複製連結]
發表於 2016-4-21 21:30:37 | 顯示全部樓層 |閱讀模式
自從4月11日論壇壞掉至今,我幾乎用上了我能使用的時間在做維護,這段時間幸虧有moripi 的大力相助,否則我還有的忙的,目前的論壇枱面上看似好了,但是枱面下其實暗潮洶湧,我每天還是得盯著伺服器的error_log檔,因為先前的惡意廣告數十萬筆,內奸雖然清除了,但是外患卻每日來報到,想請有分析error_log檔經驗的會員大家一起來幫我長知識。

範例一︰
[Thu Apr 21 08:44:07 2016] [error] [client 1.1.1.1] script '/discuz/xxxxx.php' not found or unable to stat

這個IP每天光顧我們論壇次數非常多,路踁上也沒有這支xxxxx.php 程式,查詢whois 該IP 來自美國雅虎,請問他到底要做什麼?


範例二︰
  1. [Thu Apr 21 08:32:18 2016] [error] [client 2.2.2.2] File does not exist: /discuz/http:, referer: http://bbs.pigoo.com/forum.php?mod=viewthread&tid=60261&extra=
複製代碼


這個IP每天也是光顧我們論壇次數非常多,查詢whois 該IP 來自台灣浮動IP,請問他到底要做什麼?


範例三︰
[Thu Apr 21 08:22:13 2016] [error] [client 3.3.3.3] File does not exist: /discuz/thread-29484-1-1.html\\"+id=\\"thread_subject\\"+style=\\"word-wrap:+break-word

這個IP也是每天多次光顧我們論壇,查詢whois 該IP 來自英國,這樣也不知道有何意義?


以上只是列舉三種,還有很多很多,IP 我先改掉了。
我不是要問英文的意思,我是想問這些error 是做了什麼動作造成的?如果是外面的駭客或廣告機,那我自然就用防火牆給封了,如果是我們論壇程式錯誤造成,那就得修一修了。

謝謝
發表於 2016-4-21 22:08:32 | 顯示全部樓層
本文章最後由 cremaker 於 2016-4-21 10:25 PM 編輯

範例一︰
[Thu Apr 21 08:44:07 2016] [error] [client 1.1.1.1] script '/discuz/xxxxx.php' not found or unable to stat
這個應該是想執行那個程式,但沒那個程式,所以發生錯誤。
可能原因: 那個程式可能未被植入成功,所以失效!


這個IP每天光顧我們論壇次數非常多,路踁上也沒有這支xxxxx.php 程式,查詢whois 該IP 來自美國雅虎,請問他到底要做什麼?

範例二︰
[Thu Apr 21 08:32:18 2016] [error] [client 2.2.2.2] File does not exist: /discuz/http:, referer: http://bbs.pigoo.com/forum.php?m ... id=60261&extra=
這個應該是模仿表格的回覆,例如回覆,有可能是想植入到資料庫中

這個IP每天也是光顧我們論壇次數非常多,查詢whois 該IP 來自台灣浮動IP,請問他到底要做什麼?

範例三︰
[Thu Apr 21 08:22:13 2016] [error] [client 3.3.3.3] File does not exist: /discuz/thread-29484-1-1.html\\"+id=\\"thread_subject\\"+style=\\"word-wrap:+break-word

這個和範例2 類似,也是想直接在資料庫中植入資料

像/forum.php?m ... id=60261&extra= ? 後面的都是傳一些參數,及數據 例如 id extra 可能是某個 form 中的欄位名稱,在= 這個符號後面的訧是想傳的值,這些傳值通常最後都是寫入資料庫中

可能的意圖是在資料庫中植入特別的資料,留下日後可用的數據!
老大可在網路上找一下sql 植入式攻擊
或是參考這個 連結http://newaurora.pixnet.net/blog ... 7%AF%84%E4%BE%8B%29

評分

3

檢視全部評分

發表於 2016-4-22 00:02:15 | 顯示全部樓層
本文章最後由 jojoling 於 2016-4-22 12:46 AM 編輯

報告wish 大~

請問一下在問題1 提及的 xxxxx.php ,是不是 error log 裏就是寫 xxxxx.php嗎?
如果是的話,我的猜測是 hacker 應該是在執行你 server 上保護不夠完善的 .php 檔案所產生的結果。

在問題2,3上也是一樣,錯誤訊息滿像是 hacker 找到沒被保護好的 .php 檔案從遠端讓你伺服器上執行。
個人覺得目的是要讓你系統記憶體產生 crash /或塞滿不正常錯誤而產生記憶體回收不了~
有點像是 DDOS 的攻擊~

貼一些 ping 的 DDOS 攻擊了解一下~
https://www.youtube.com/watch?v=BAeVrW9AsO0
https://www.youtube.com/watch?v=KSXae_JuF5A

個人懷疑  hacker 是找到些 server 上的 php 檔案沒有被前端加入保護,從遠端直接執行。
if(!defined('IN_Discuz')) {exit('Access Denied');}
這行敘述是確保程式不是由非核心的其它程式直接呼叫~


評分

4

檢視全部評分

發表於 2016-4-22 01:02:31 | 顯示全部樓層
另一個懷疑的,網路有提及廣告機的行為,也有可能像是 DDOS的攻擊~
發表於 2016-4-22 02:42:01 | 顯示全部樓層
本文章最後由 moripi 於 2016-4-22 02:44 AM 編輯

魔的看法是 Web spider (網路蜘蛛) 行為...

網路蜘蛛(Web spider)也叫網路爬蟲(Web crawler)[1],螞蟻(ant),自動檢索工具(automatic indexer),或者(在FOAF軟體概念中)網路疾走(WEB scutter),是一種「自動化瀏覽網路」的程式,或者說是一種網路機器人。它們被廣泛用於網際網路搜尋引擎或其他類似網站,以取得或更新這些網站的內容和檢索方式。它們可以自動採集所有其能夠存取到的頁面內容,以供搜尋引擎做進一步處理(分檢整理下載的頁面),而使得使用者能更快的檢索到他們需要的資訊。

更多詳細請看wiki
Web Spider


可以試著從 Discuz 的 Robots.txt 下手試試...

評分

4

檢視全部評分

 樓主| 發表於 2016-4-22 09:59:21 | 顯示全部樓層
jojoling 發表於 2016-4-22 12:02 AM
報告wish 大~

請問一下在問題1 提及的 xxxxx.php ,是不是 error log 裏就是寫 xxxxx.php嗎?

謝謝回覆。
是的,例如error_log裡面就是寫著/discuz/abcd.php,但是discuz 下根本沒有這支php。
 樓主| 發表於 2016-4-22 09:59:53 | 顯示全部樓層
cremaker 發表於 2016-4-21 10:08 PM
範例一︰
[Thu Apr 21 08:44:07 2016] [error] [client 1.1.1.1] script '/discuz/xxxxx.php' not found or ...

謝謝版大,我再研究究,也聽聽別的會員看法。
 樓主| 發表於 2016-4-22 11:56:35 | 顯示全部樓層
moripi 發表於 2016-4-22 02:42 AM
魔的看法是 Web spider (網路蜘蛛) 行為...

網路蜘蛛(Web spider)也叫網路爬蟲(Web crawler)[1],螞蟻 ...


是網路蜘蛛的話,我用whois 反查時,應會查到是那一家搜尋引擎,如果查到的是Google、Yahoo、百度等等,這可判斷是網路蜘蛛,但是很多的並不是。

用Robots.txt 擋的方式在多年前我曾經擋過,因為那時有會員說家園的資料頁面會被Google 抓出來,所以我曾經重新定義Robots.txt,不過過沒多久Google 就來說我們的Robots.txt 擋住它們的蜘蛛抓取資料,不利SEO 什麼的要求我解開,沒辦法,Google 出錢的最大,後來我就又用Discuz 原本的Robots.txt。
 樓主| 發表於 2016-4-22 12:04:53 | 顯示全部樓層
這個是Google 的蜘蛛︰
[Fri Apr 22 11:11:42 2016] [error] [client 66.249.79.57] File does not exist: /discuz/brand

大家可以到whois 反查它的ip 就可知道是來自Google,其實目前也沒有brand 的目錄,它還是去找,應該是以前留下的。
發表於 2016-4-22 12:17:35 | 顯示全部樓層
本文章最後由 xiaolaba 於 2016-4-22 12:20 PM 編輯

有沒有辦法把這些EXCEPTION 丟到固定的容器, 例如 CON 或者 NULL
反正引導到垃圾池讓它自然蒸發就最好了, 其實很難知道他要做啥, 等你知道也就掛點了.
上次SSL那血心漏的補了沒, 聽說最近SSL又搞另外一個飛機了, 有用到SSL就看看
發表於 2016-4-22 15:10:04 | 顯示全部樓層
本文章最後由 moripi 於 2016-4-22 03:36 PM 編輯
wish 發表於 2016-4-22 11:56 AM
是網路蜘蛛的話,我用whois 反查時,應會查到是那一家搜尋引擎,如果查到的是Google、Yahoo、百度等等, ...


其實除了Google Yahoo Baidu 這些較大廠的知名搜尋引擎外,
還有許許多多不知名的搜尋引擎廠商...

網路上常見的手法是...上過某個網站被安裝了某家的搜尋工具列..
(常發現對電腦較不熟的朋友一打開Browser 頂端就被放了3-4個搜尋工具列)
有的還不能輕易的移除, 反而像是病毒一樣砍也砍不掉...

而這些惡意工具列平常就是在幫助該搜尋引擎做資料採集的工作...
假如這些不知名的小廠所出的工具列, 有開發加入小礦工的功能, 幫忙採集資料再回報給該搜尋引擎...
那就會出現該 IP 反查不出源頭的情況了...


 樓主| 發表於 2016-4-22 16:32:07 | 顯示全部樓層
moripi 發表於 2016-4-22 03:10 PM
其實除了Google Yahoo Baidu 這些較大廠的知名搜尋引擎外,
還有許許多多不知名的搜尋引擎廠商...

謝謝!以我第一篇舉的那三個例子,是否你認為都是網路蜘蛛呢?
發表於 2016-4-22 17:17:44 | 顯示全部樓層
本文章最後由 moripi 於 2016-4-22 05:45 PM 編輯
wish 發表於 2016-4-22 04:32 PM
謝謝!以我第一篇舉的那三個例子,是否你認為都是網路蜘蛛呢?

回wish大,

以例子 1 3 來看目前是網路蜘蛛...

另外剛才魔找了點時間分析了一下第2例子...


  1. [Thu Apr 21 08:32:18 2016] [error] [client 2.2.2.2] File does not exist: /discuz/http:, referer: http://bbs.pigoo.com/forum.php?mod=viewthread&tid=60261&extra=
複製代碼

從 log 中可以看出該錯誤就是無法找到檔案  /discuz/http:
而錯誤是一個來自討論串 ID: 60261 的一個 referer(參照)行為...

現在我們分析一下該 referer 主題, 來自 popcorn大的 [維修工具] 簡易植台自製


可以找到該錯誤的 referer (紅框處)是一個 <img> 標籤 而它的 img src來自
  1. http://bbs.pigoo.com//http://bbs.pigoo.com/data/attachment/album/201109/04/212101sen687n1py0nyy9y.jpg
複製代碼

可以看出該referer error 是因為http://bbs.pigoo.com 重覆兩次而引發的...

那參照的 img 又是哪張圖呢?
直接在網址貼上 http://bbs.pigoo.com/data/attach ... en687n1py0nyy9y.jpg
可以看到是痞酷液晶維修大聯盟的LOGO


所以這個參照錯誤是由簽名檔的 img 標籤所引發的...
只要有人瀏覽有該簽名者發言的帖子,
相信都會引發一次以上的錯誤(依該頁面出現該酷友的發言次數而定)...
解決方法為修正簽名檔...或是無視它...(反而還省了頻寬?!


以上

PS: 以上言論只針對問題做分析, 並無針對個人...還請當事人海涵...


本主題中包含更多資源 (圖片、附件...)

你需要 登入 才可以下載或檢視,沒有帳號?立即註冊

x

評分

4

檢視全部評分

發表於 2016-4-22 18:11:16 | 顯示全部樓層
moripi 發表於 2016-4-22 05:17 PM
回wish大,

以例子 1 3 來看目前是網路蜘蛛...

有才...厲害
 樓主| 發表於 2016-4-22 20:42:51 | 顯示全部樓層
moripi 發表於 2016-4-22 05:17 PM
回wish大,

以例子 1 3 來看目前是網路蜘蛛...

不知道Discuz 官網知不知道有這個問題。
發表於 2016-4-22 21:31:52 | 顯示全部樓層
wish 發表於 2016-4-22 08:42 PM
不知道Discuz 官網知不知道有這個問題。


回wish大..

這並不是 Discuz 的問題, 而單純只是 HTML 使用錯誤...
記得後台好像有一個簽名檔是否勻許 [HTML/BBC] 的設定是可以開關的...
發表於 2016-4-22 22:25:39 | 顯示全部樓層
個人覺得問題 2與 3 都是屬於阿魔說的。
問題 1 目前不能肯定 ABCD.php 是不是也是同樣~
 樓主| 發表於 2016-4-22 23:13:59 | 顯示全部樓層
moripi 發表於 2016-4-22 09:31 PM
回wish大..

這並不是 Discuz 的問題, 而單純只是 HTML 使用錯誤...

咦!我怎麼沒有印象後台還有專供簽名檔的設定?我來找看看好了。
 樓主| 發表於 2016-4-22 23:21:48 | 顯示全部樓層
jojoling 發表於 2016-4-22 10:25 PM
個人覺得問題 2與 3 都是屬於阿魔說的。
問題 1 目前不能肯定 ABCD.php 是不是也是同樣~ ...

第一個例子的是/discuz/xxxxx.php,這支xxxxx.php 不僅在discuz 的根目錄沒有這支程式,甚至包含整個Discuz 目錄及其它目錄都沒有這支程式,所以不知道他連來做什麼?
發表於 2016-4-23 00:19:17 | 顯示全部樓層
wish 發表於 2016-4-22 11:21 PM
第一個例子的是/discuz/xxxxx.php,這支xxxxx.php 不僅在discuz 的根目錄沒有這支程式,甚至包含整個Disc ...

ABCD這4個字,尋找過原程式是有ABCDEF... 的字母串~
但應該不是這些傳遞來的~
現在想想,這種情況也有可能是網路蜘蛛,有可能是遠端搜尋引擎在解析產生特定資料時因為痞酷網的html資料或它的解析引擎產生錯誤的中斷資料而造成~

如果是 hacking 的話,一般在突破測試時,應該是會導入產生不同的檔名來嘗試~
如果都是同一種訊息(abcd.php not found),目的只有一種,嘗試產生錯誤訊息去灌爆本地端 ram disk 的空間,這招是有機會癱瘓某些 server 的(例如我家的 web server 架在分享器上,log file 是存在 ram disk 上,雖然我用的分享器等級很高了, RAM 有256MB與128MB各1台)~

評分

1

檢視全部評分

發表於 2016-4-23 01:08:10 | 顯示全部樓層
wish 發表於 2016-4-22 11:13 PM
咦!我怎麼沒有印象後台還有專供簽名檔的設定?我來找看看好了。

不過關了後簽名檔就只能是死板的純文字了....
魔覺得這個 Referer error 不影响任何安全性或論壇功能..
其實可以無視它的存在...
發表於 2016-4-28 13:30:55 | 顯示全部樓層
wish 發表於 2016-4-22 09:59 AM
謝謝回覆。
是的,例如error_log裡面就是寫著/discuz/abcd.php,但是discuz 下根本沒有這支php。 ...

應該是他試著植入 abc.php , 然後再試著看看能不能執行 abc.php, 確認有沒有植入成功
發表於 2016-4-28 13:31:45 | 顯示全部樓層
wish 發表於 2016-4-22 11:56 AM
是網路蜘蛛的話,我用whois 反查時,應會查到是那一家搜尋引擎,如果查到的是Google、Yahoo、百度等等, ...

網路蜘蛛也有私人架設的~~

評分

1

檢視全部評分

你需要登入後才可以回覆 登入 | 立即註冊

本版積分規則

關閉

站長小叮嚀上一筆 /1 下一筆

禁閉室|手機版|連繫我們|痞酷網電子技術論壇

GMT+8, 2018-6-20 05:45 PM , Processed in 0.063915 second(s), 8 queries , Gzip On, Redis On.

Powered by Discuz! X3.3 Licensed

© 2001-2017 Comsenz Inc.