請有Linux 系統經驗的會員幫忙分析error_log

wish

自從4月11日論壇壞掉至今，我幾乎用上了我能使用的時間在做維護，這段時間幸虧有moripi 的大力相助，否則我還有的忙的，目前的論壇枱面上看似好了，但是枱面下其實暗潮洶湧，我每天還是得盯著伺服器的error_log檔，因為先前的惡意廣告數十萬筆，內奸雖然清除了，但是外患卻每日來報到，想請有分析error_log檔經驗的會員大家一起來幫我長知識。

範例一︰
[Thu Apr 21 08:44:07 2016] [error] [client 1.1.1.1] script '/discuz/xxxxx.php' not found or unable to stat

這個IP每天光顧我們論壇次數非常多，路踁上也沒有這支xxxxx.php 程式，查詢whois 該IP 來自美國雅虎，請問他到底要做什麼？


範例二︰

1. [Thu Apr 21 08:32:18 2016] [error] [client 2.2.2.2] File does not exist: /discuz/http:, referer: http://bbs.pigoo.com/forum.php?mod=viewthread&tid=60261&extra=

複製代碼

這個IP每天也是光顧我們論壇次數非常多，查詢whois 該IP 來自台灣浮動IP，請問他到底要做什麼？


範例三︰
[Thu Apr 21 08:22:13 2016] [error] [client 3.3.3.3] File does not exist: /discuz/thread-29484-1-1.html\\"+id=\\"thread_subject\\"+style=\\"word-wrap:+break-word

這個IP也是每天多次光顧我們論壇，查詢whois 該IP 來自英國，這樣也不知道有何意義？


以上只是列舉三種，還有很多很多，IP 我先改掉了。
我不是要問英文的意思，我是想問這些error 是做了什麼動作造成的？如果是外面的駭客或廣告機，那我自然就用防火牆給封了，如果是我們論壇程式錯誤造成，那就得修一修了。

謝謝

cremaker

範例一︰
[Thu Apr 21 08:44:07 2016] [error] [client 1.1.1.1] script '/discuz/xxxxx.php' not found or unable to stat
這個應該是想執行那個程式，但沒那個程式，所以發生錯誤。
可能原因： 那個程式可能未被植入成功，所以失效！

這個IP每天光顧我們論壇次數非常多，路踁上也沒有這支xxxxx.php 程式，查詢whois 該IP 來自美國雅虎，請問他到底要做什麼？

範例二︰
[Thu Apr 21 08:32:18 2016] [error] [client 2.2.2.2] File does not exist: /discuz/http:, referer: http://bbs.pigoo.com/forum.php?m ... id=60261&extra=
這個應該是模仿表格的回覆，例如回覆，有可能是想植入到資料庫中

這個IP每天也是光顧我們論壇次數非常多，查詢whois 該IP 來自台灣浮動IP，請問他到底要做什麼？

範例三︰
[Thu Apr 21 08:22:13 2016] [error] [client 3.3.3.3] File does not exist: /discuz/thread-29484-1-1.html\\"+id=\\"thread_subject\\"+style=\\"word-wrap:+break-word

這個和範例2 類似，也是想直接在資料庫中植入資料

像/forum.php?m ... id=60261&extra= ? 後面的都是傳一些參數，及數據 例如 id extra 可能是某個 form 中的欄位名稱，在= 這個符號後面的訧是想傳的值，這些傳值通常最後都是寫入資料庫中

可能的意圖是在資料庫中植入特別的資料，留下日後可用的數據！
老大可在網路上找一下sql 植入式攻擊
或是參考這個 連結http://newaurora.pixnet.net/blog ... 7%AF%84%E4%BE%8B%29

jojoling

報告wish 大~

請問一下在問題1 提及的 xxxxx.php ，是不是 error log 裏就是寫 xxxxx.php嗎？
如果是的話，我的猜測是 hacker 應該是在執行你 server 上保護不夠完善的 .php 檔案所產生的結果。

在問題2,3上也是一樣，錯誤訊息滿像是 hacker 找到沒被保護好的 .php 檔案從遠端讓你伺服器上執行。
個人覺得目的是要讓你系統記憶體產生 crash /或塞滿不正常錯誤而產生記憶體回收不了~
有點像是 DDOS 的攻擊~

貼一些 ping 的 DDOS 攻擊了解一下~
https://www.youtube.com/watch?v=BAeVrW9AsO0
https://www.youtube.com/watch?v=KSXae_JuF5A

個人懷疑  hacker 是找到些 server 上的 php 檔案沒有被前端加入保護，從遠端直接執行。
if(!defined('IN_Discuz')) {exit('Access Denied');}
這行敘述是確保程式不是由非核心的其它程式直接呼叫~

jojoling

另一個懷疑的，網路有提及廣告機的行為，也有可能像是 DDOS的攻擊~

moripi

魔的看法是 Web spider (網路蜘蛛) 行為...

網路蜘蛛（Web spider）也叫網路爬蟲（Web crawler）[1]，螞蟻（ant），自動檢索工具（automatic indexer），或者（在FOAF軟體概念中）網路疾走（WEB scutter），是一種「自動化瀏覽網路」的程式，或者說是一種網路機器人。它們被廣泛用於網際網路搜尋引擎或其他類似網站，以取得或更新這些網站的內容和檢索方式。它們可以自動採集所有其能夠存取到的頁面內容，以供搜尋引擎做進一步處理（分檢整理下載的頁面），而使得使用者能更快的檢索到他們需要的資訊。

更多詳細請看wiki
Web Spider


可以試著從 Discuz 的 Robots.txt 下手試試...

wish

jojoling 發表於 2016-4-22 12:02 AM
報告wish 大~

請問一下在問題1 提及的 xxxxx.php ，是不是 error log 裏就是寫 xxxxx.php嗎？

謝謝回覆。
是的，例如error_log裡面就是寫著/discuz/abcd.php，但是discuz 下根本沒有這支php。

wish

cremaker 發表於 2016-4-21 10:08 PM
範例一︰
[Thu Apr 21 08:44:07 2016] [error] [client 1.1.1.1] script '/discuz/xxxxx.php' not found or ...

謝謝版大，我再研究究，也聽聽別的會員看法。

wish

moripi 發表於 2016-4-22 02:42 AM
魔的看法是 Web spider (網路蜘蛛) 行為...

網路蜘蛛（Web spider）也叫網路爬蟲（Web crawler）[1]，螞蟻 ...

是網路蜘蛛的話，我用whois 反查時，應會查到是那一家搜尋引擎，如果查到的是Google、Yahoo、百度等等，這可判斷是網路蜘蛛，但是很多的並不是。

用Robots.txt 擋的方式在多年前我曾經擋過，因為那時有會員說家園的資料頁面會被Google 抓出來，所以我曾經重新定義Robots.txt，不過過沒多久Google 就來說我們的Robots.txt 擋住它們的蜘蛛抓取資料，不利SEO 什麼的要求我解開，沒辦法，Google 出錢的最大，後來我就又用Discuz 原本的Robots.txt。

wish

這個是Google 的蜘蛛︰
[Fri Apr 22 11:11:42 2016] [error] [client 66.249.79.57] File does not exist: /discuz/brand

大家可以到whois 反查它的ip 就可知道是來自Google，其實目前也沒有brand 的目錄，它還是去找，應該是以前留下的。

xiaolaba

有沒有辦法把這些EXCEPTION 丟到固定的容器, 例如 CON 或者 NULL
反正引導到垃圾池讓它自然蒸發就最好了, 其實很難知道他要做啥, 等你知道也就掛點了.
上次SSL那血心漏的補了沒, 聽說最近SSL又搞另外一個飛機了, 有用到SSL就看看

moripi

wish 發表於 2016-4-22 11:56 AM
是網路蜘蛛的話，我用whois 反查時，應會查到是那一家搜尋引擎，如果查到的是Google、Yahoo、百度等等， ...

其實除了Google Yahoo Baidu 這些較大廠的知名搜尋引擎外,
還有許許多多不知名的搜尋引擎廠商...

網路上常見的手法是...上過某個網站被安裝了某家的搜尋工具列..
(常發現對電腦較不熟的朋友一打開Browser 頂端就被放了3-4個搜尋工具列)
有的還不能輕易的移除, 反而像是病毒一樣砍也砍不掉...

而這些惡意工具列平常就是在幫助該搜尋引擎做資料採集的工作...
假如這些不知名的小廠所出的工具列, 有開發加入小礦工的功能, 幫忙採集資料再回報給該搜尋引擎...
那就會出現該 IP 反查不出源頭的情況了...

wish

moripi 發表於 2016-4-22 03:10 PM
其實除了Google Yahoo Baidu 這些較大廠的知名搜尋引擎外,
還有許許多多不知名的搜尋引擎廠商...

謝謝！以我第一篇舉的那三個例子，是否你認為都是網路蜘蛛呢？

moripi

wish 發表於 2016-4-22 04:32 PM
謝謝！以我第一篇舉的那三個例子，是否你認為都是網路蜘蛛呢？

回wish大,

以例子 1 3 來看目前是網路蜘蛛...

另外剛才魔找了點時間分析了一下第2例子...

1. 
   
2. [Thu Apr 21 08:32:18 2016] [error] [client 2.2.2.2] File does not exist: /discuz/http:, referer: http://bbs.pigoo.com/forum.php?mod=viewthread&tid=60261&extra=
   

複製代碼

從 log 中可以看出該錯誤就是無法找到檔案  /discuz/http:
而錯誤是一個來自討論串 ID: 60261 的一個 referer(參照)行為...

現在我們分析一下該 referer 主題, 來自 popcorn大的 [維修工具] 簡易植台自製


可以找到該錯誤的 referer (紅框處)是一個 <img> 標籤 而它的 img src來自

1. http://bbs.pigoo.com//http://bbs.pigoo.com/data/attachment/album/201109/04/212101sen687n1py0nyy9y.jpg

複製代碼

可以看出該referer error 是因為http://bbs.pigoo.com 重覆兩次而引發的...

那參照的 img 又是哪張圖呢?
直接在網址貼上 http://bbs.pigoo.com/data/attach ... en687n1py0nyy9y.jpg
可以看到是痞酷液晶維修大聯盟的LOGO


所以這個參照錯誤是由簽名檔的 img 標籤所引發的...
只要有人瀏覽有該簽名者發言的帖子,
相信都會引發一次以上的錯誤(依該頁面出現該酷友的發言次數而定)...
解決方法為修正簽名檔...或是無視它...(反而還省了頻寬?!


以上

PS: 以上言論只針對問題做分析, 並無針對個人...還請當事人海涵...

xiaolaba

moripi 發表於 2016-4-22 05:17 PM
回wish大,

以例子 1 3 來看目前是網路蜘蛛...

有才...厲害

wish

moripi 發表於 2016-4-22 05:17 PM
回wish大,

以例子 1 3 來看目前是網路蜘蛛...

不知道Discuz 官網知不知道有這個問題。

moripi

wish 發表於 2016-4-22 08:42 PM
不知道Discuz 官網知不知道有這個問題。

回wish大..

這並不是 Discuz 的問題, 而單純只是 HTML 使用錯誤...
記得後台好像有一個簽名檔是否勻許 [HTML/BBC] 的設定是可以開關的...

jojoling

個人覺得問題 2與 3 都是屬於阿魔說的。
問題 1 目前不能肯定 ABCD.php 是不是也是同樣~

wish

moripi 發表於 2016-4-22 09:31 PM
回wish大..

這並不是 Discuz 的問題, 而單純只是 HTML 使用錯誤...

咦！我怎麼沒有印象後台還有專供簽名檔的設定？我來找看看好了。

wish

jojoling 發表於 2016-4-22 10:25 PM
個人覺得問題 2與 3 都是屬於阿魔說的。
問題 1 目前不能肯定 ABCD.php 是不是也是同樣~ ...

第一個例子的是/discuz/xxxxx.php，這支xxxxx.php 不僅在discuz 的根目錄沒有這支程式，甚至包含整個Discuz 目錄及其它目錄都沒有這支程式，所以不知道他連來做什麼？

jojoling

wish 發表於 2016-4-22 11:21 PM
第一個例子的是/discuz/xxxxx.php，這支xxxxx.php 不僅在discuz 的根目錄沒有這支程式，甚至包含整個Disc ...

ABCD這4個字，尋找過原程式是有ABCDEF... 的字母串~
但應該不是這些傳遞來的~
現在想想，這種情況也有可能是網路蜘蛛，有可能是遠端搜尋引擎在解析產生特定資料時因為痞酷網的html資料或它的解析引擎產生錯誤的中斷資料而造成~

如果是 hacking 的話，一般在突破測試時，應該是會導入產生不同的檔名來嘗試~
如果都是同一種訊息(abcd.php not found)，目的只有一種，嘗試產生錯誤訊息去灌爆本地端 ram disk 的空間，這招是有機會癱瘓某些 server 的(例如我家的 web server 架在分享器上，log file 是存在 ram disk 上，雖然我用的分享器等級很高了, RAM 有256MB與128MB各1台)~

moripi

wish 發表於 2016-4-22 11:13 PM
咦！我怎麼沒有印象後台還有專供簽名檔的設定？我來找看看好了。

不過關了後簽名檔就只能是死板的純文字了....
魔覺得這個 Referer error 不影响任何安全性或論壇功能..
其實可以無視它的存在...

goodnight

wish 發表於 2016-4-22 09:59 AM
謝謝回覆。
是的，例如error_log裡面就是寫著/discuz/abcd.php，但是discuz 下根本沒有這支php。 ...

應該是他試著植入 abc.php , 然後再試著看看能不能執行 abc.php, 確認有沒有植入成功

goodnight

wish 發表於 2016-4-22 11:56 AM
是網路蜘蛛的話，我用whois 反查時，應會查到是那一家搜尋引擎，如果查到的是Google、Yahoo、百度等等， ...

網路蜘蛛也有私人架設的~~