Странный доступ с серверов RIPE и других IP-адресов

Question

Просматривая логи моего сервера, я вижу много активности с разных IP-адресов. Что-то вроде этого:

69.65.10.86 - - [22/Feb/2012:11:14:40 -0200] "GET http://amate urangelz.com/ HTTP/1.1" 200 69869
69.65.10.86 - - [22/Feb/2012:11:14:45 -0200] "GET http://amat eurangelz.com/tx/out.php?t=exgirlfriendshots.com&l=toplist HTTP/1.1" 301 -
95.211.8.143 - - [22/Feb/2012:11:16:19 -0200] "GET http://porn-ma ture.org/ HTTP/1.1" 200 112102
95.211.8.143 - - [22/Feb/2012:11:16:22 -0200] "GET http://porn- mature.org/streamrotator/out.php?l=0.6.191.10308.0&u=/?search=Verie&facename=tags HTTP/1.1" 302 -
95.211.8.143 - - [22/Feb/2012:11:16:27 -0200] "GET http://porn-m ature.org//?search=Verie&facename=tags/ HTTP/1.1" 200 37943
95.211.8.143 - - [22/Feb/2012:11:16:36 -0200] "GET http://porn- mature.org/cgi-bin/te/o.cgi?id= HTTP/1.1" 302 203
95.211.22.8 - - [22/Feb/2012:11:17:05 -0200] "GET http://www.teens naked.us/cgi-bin/in.cgi?id=628 HTTP/1.1" 302 219
95.211.22.8 - - [22/Feb/2012:11:17:06 -0200] "GET http://www.teens naked.us/index.html?628 HTTP/1.1" 200 64907
95.211.22.8 - - [22/Feb/2012:11:17:16 -0200] "GET http://www.teensna ked.us/cgi-bin/out.cgi?ses=1YH2IQasTU&id=1472&url=http%3a%2f%2fwww.teens-porno.net%2fteenpornforum%2f HTTP/1.1" 302 221
95.211.15.136 - - [22/Feb/2012:11:17:36 -0200] "GET http://gogous enett.com/ HTTP/1.1" 200 13794
95.211.15.136 - - [22/Feb/2012:11:17:44 -0200] "GET http://go gousenett.com/category/nonude/ HTTP/1.1" 200 11858
95.211.8.143 - - [22/Feb/2012:11:22:16 -0200] "GET http://www.milfc utees.com/?ref=moms-area.net HTTP/1.1" 200 47961
95.211.8.143 - - [22/Feb/2012:11:22:16 -0200] "GET http://www.milfc utees.com/dtr/count.php?gr=1 HTTP/1.1" 200 -

(Я вставляю случайные пробелы в URL, чтобы исключить любой тип потока ..., и это только небольшая часть журнала ...)

С помощью простого whois для некоторых из этих IP-адресов я обнаружил, что эти IP-адреса получены от RIPE NCC. Что это такое и что они делают с моим сервером? Это странно.

У меня есть сервер Apache Tomcat 7, работающий на порте 4040, и сервер Apache (LAMP), работающий на порте 80, который проксирует приложение, работающее в Tomcat.

Это нормально и что происходит?

Я проверил файл auth.log , и он имеет много попыток входа с этих IP-адресов. Это похоже на атаку грубой силой.

Список IP-адресов:

120.205.8.6
144.16.112.130
163.17.108.2
175.45.42.32
199.15.113.158
210.72.192.56
222.174.35.3

Другое дело: долгое время на этом сервере работал только Tomcat. Эти атаки начались, когда я установил и запустил XAMPP (LAMP)..

Answer 1

Насколько я понимаю, RIPE NCC управляет всеми IP-адресами (в Европе). Так что они не виноваты.

Мне кажется, что эти диапазоны адресов принадлежат LeaseWeb (хостинг-провайдер).

Таким образом, происходит то, что некоторые из их серверов сканируют ваш веб-сервер на наличие уязвимостей или пытаются каким-то образом внедрить URL-адреса в ваш веб-сайт (в надежде, что ссылки попадут на веб-сайт и приведут к попаданию рефералов на эти сайты).

Так почему их серверы делают это? Ну, кто-то оставил свой сервер незащищенным и был угнан. Теперь их сервер используется для атак на другие серверы (например, на ваш).

Вы можете написать по abuse@leaseweb.com чтобы сообщить им об этом. Они могут закрыть доступ к сети для этих серверов, но проблема будет сохраняться с новых адресов.

Answer 2

Твой whois был слишком прост.

RIPE NCC - это региональный интернет-реестр (для Европы, Ближнего Востока и некоторых стран Центральной Азии, согласно Википедии). Несмотря на то, что ARIN и другие RIR указали его как владельца сети 95.0.0.0/8 , он только управляет назначением небольших сетей другим пользователям.

NetRange:       95.0.0.0 - 95.255.255.255
CIDR:           95.0.0.0/8
NetName:        95-RIPE
NetHandle:      NET-95-0-0-0-1
NetType:        Allocated to RIPE NCC
Comment:        These addresses have been further assigned to users in
Comment:        the RIPE NCC region. Contact information can be found in
Comment:        the RIPE database at http://www.ripe.net/whois
RegDate:        2007-07-30
Updated:        2009-05-18
Ref:            http://whois.arin.net/rest/net/NET-95-0-0-0-1

ReferralServer: whois://whois.ripe.net:43

Более умный клиент WHOIS автоматически запросил бы RIPE NCC (используя файл конфигурации или следуя рекомендации); другие требуют, чтобы вы -h whois.ripe.net или аналогичные варианты. И согласно RIPE NCC, 95.211.8.143 принадлежит LeaseWeb:

inetnum:         95.211.21.192 - 95.211.28.63
netname:         LEASEWEB
descr:           LeaseWeb
descr:           P.O. Box 93054
descr:           1090BB AMSTERDAM
descr:           Netherlands
descr:           www.leaseweb.com
remarks:         Please send email to "abuse@leaseweb.com" for complaints
remarks:         regarding portscans, DoS attacks and spam.
country:         NL
admin-c:         LSW1-RIPE
tech-c:          LSW1-RIPE
status:          ASSIGNED PA
mnt-by:          OCOM-MNT