Jedná se o útok hackera?

26. 2. 2013 08:53:02

Dobrý den,

před několika dny jsme měli na několika českých i zahraničních doménách enormní nárůst přístupů, kdy během několika minut z jedné IP adresy (z ČR) bylo zaznamenáno několik tisíc návštěv. Výsledkem toho bylo, že poskytovatel webhostingu všechny domény zablokoval.

Kontaktovali jsme providera, pod jehož správou je daná IP adresa a ten se k tomu stavěl nejdříve zdrženlivě a pak přišel s vysvětlením, že se jednalo o webový crowler pro SEO analýzu, což se mi nezdá.

Má někdo zkušenosti z něčím podobným? Předem děkuji za reakce a případné rady, jak dál postupovat :)

Část výpisu z přístupů:

11:50:55 Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)

11:51:00 Mozilla/5.0 (Windows; U; Win98; rv:1.7.3) Gecko/20041001 Firefox/0.10.1 StumbleUpon/1.9993

11:51:00 Mozilla/5.0 (X11; Linux i686; U) Opera 7.52

11:51:00 Mozilla/5.0 (X11; U; FreeBSD i386; en-US; rv:1.7.6) Gecko/20050315 Firefox/1.0.1

11:51:00 Mozilla/5.0 (X11; U; Linux i686; de-AT; rv:1.7.2) Gecko/20040803

11:51:00 Opera/7.52 (Windows NT 5.0; U)

11:51:00 Opera/7.54 (X11; Linux i686; U)

11:51:00 Opera/7.23 (Windows NT 5.0; U)

11:51:00 Opera/8.0 (Windows NT 5.0; U; en)

11:51:00 Mozilla/5.0 (Windows; U; Win98; ro-RO; rv:1.7.6) Gecko/20050318 Firefox/1.0.2

11:51:00 Opera/7.54 (X11; Linux i686; U)

11:51:00 Opera/8.00 (Windows NT 5.1; U; en)

11:51:01 Mozilla/5.0 (X11; U; OpenBSD i386; en-US; rv:1.7.5) Gecko/20050128 Firefox/1.0

11:51:03 Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)

11:51:03 Opera/7.23 (Windows NT 5.1; U)

11:51:05 Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)

11:51:05 Opera/7.54 (X11; Linux i686; U)

11:51:05 Mozilla/5.0 (X11; U; Linux i686; es-ES; rv:1.7.6) Gecko/20050303 Firefox/1.0.1

11:51:06 Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)

11:51:08 Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.7.6) Gecko/20050329 Firefox/1.0.2

11:51:08 Opera/7.23 (Windows NT 5.0; U)

11:51:08 Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.7.6) Gecko/20050329 Firefox/1.0.2

11:51:08 Mozilla/5.0 (Windows; U; Win98; el-GR; rv:1.7.6) Gecko/20050321 Firefox/1.0.2

11:51:09 Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)

11:51:10 Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)

11:51:12 Mozilla/5.0 (X11; U; FreeBSD i386; en-US; rv:1.7.6) Gecko/20050315 Firefox/1.0.1

11:51:12 Opera/7.11 (Windows NT 5.1; U)

11:51:12 Mozilla/5.0 (X11; U; Linux i686; ru-RU; rv:1.7.5) Gecko/20041108 Firefox/1.0

11:51:13 Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)

11:51:15 Mozilla/5.0 (Windows; U; Win98; fi-FI; rv:1.7.6) Gecko/20050318 Firefox/1.0.2

11:51:15 Mozilla/5.0 (X11; U; Linux i686; pt-BR; rv:1.7.6) Gecko/20050318 Firefox/1.0.2

11:51:15 Mozilla/5.0 (X11; U; Linux i686; ru-RU; rv:1.7.5) Gecko/20041108 Firefox/1.0

11:51:16 Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)

11:51:19 Mozilla/5.0 (X11; U; Linux i686; en-AU; rv:1.7) Gecko/20041013 Firefox/0.9.3 (Ubuntu)

11:51:19 Mozilla/5.0 (X11; U; Linux i586; en-US; rv:1.7.6) Gecko/20050325 Firefox/1.0.2 (Debian package 1.0.2-1)

11:51:19 Opera/6.04 (Windows 2000; U)

26. 2. 2013 08:53:02

https://webtrh.cz/diskuse/jedna-se-o-utok-hackera/#reply870973

webbew

(4 hodnocení)

26. 2. 2013 08:55:52

ako musim sa zasmiat .. pristupy z jednej IP a webhoster zablokuje domeny, na ktore pristupuje .. :D nemalo by to byt naopak ? ze zablokujem tu IP?

26. 2. 2013 08:55:52

https://webtrh.cz/diskuse/jedna-se-o-utok-hackera/#reply870972

Roman

(15 hodnocení)

26. 2. 2013 09:04:50

taky se směju, takového webhostera bych teda mít nechtěl. Když si neumí ani nastavit pravidla a ochranu proti útokům... Jinak by to samozřejmě chtělo jiný log, ale nechceš napsat, co to je za hostingovou společnost? Protože ta opravdu na trhu nemá co dělat.

26. 2. 2013 09:04:50

https://webtrh.cz/diskuse/jedna-se-o-utok-hackera/#reply870971

websession

26. 2. 2013 09:10:25

Napsal Caesar;914961
taky se směju, takového webhostera bych teda mít nechtěl. Když si neumí ani nastavit pravidla a ochranu proti útokům... Jinak by to samozřejmě chtělo jiný log, ale nechceš napsat, co to je za hostingovou společnost? Protože ta opravdu na trhu nemá co dělat.

Jedná se o greengeeks.com

Také nás jejich přístup překvapil ... jinak jsme s nimi zatím neměli problémy. Domény samozřejmě nahodil, ale jde mi o to, zda se mohlo jednat o cílený útok na shození serveru nebo zda existuje SEO nástroj, který by byl něčeho takového schopen?

26. 2. 2013 09:10:25

https://webtrh.cz/diskuse/jedna-se-o-utok-hackera/#reply870970

Dominique

(5 hodnocení)

26. 2. 2013 09:23:00

ten vas vypis je k nicemu, pokud neukazete, co hledal a kam pristupoval

Jestli utocnik generuje adresy, kde posila promenny nebo si nastavuje cookies ci session nebo vam jen tak checkuje nejake formulare, to z vypisu nezjistime. Pouze si meni hlavicky prohlizece, nic vic a ani za jakym ucelem.

Jedina rada je zmenit webhosting, protoze jestli tohle mate ve vypisu nebo vam to dal poskytovatel jako zduvodneni, tak to hodne vypovida o jejich profesionalite a hlavne znalostech.

26. 2. 2013 09:23:00

https://webtrh.cz/diskuse/jedna-se-o-utok-hackera/#reply870969

webbew

(4 hodnocení)

26. 2. 2013 09:26:07

to sa na 100% z informacii, ktore mame potvrdit neda .. tam by bol potrebny komplet vypis .. kazdopadne to ale napoveda o kvalite hostingu, ked nezablokovali tu IPcku ale domeny .. :/

hm, Bluemoon ma predbehol :)

26. 2. 2013 09:26:07

https://webtrh.cz/diskuse/jedna-se-o-utok-hackera/#reply870968

MartinB.

(1 hodnocení)

26. 2. 2013 09:27:50

Dá se říci s téměř 100% jistotou že se nejednalo o web crawler ale o cílený útok. Každopádně jak již zde bylo i výše napsáno to co jste zde dal prakticky nic neřekne ...

26. 2. 2013 09:27:50

https://webtrh.cz/diskuse/jedna-se-o-utok-hackera/#reply870967

websession

26. 2. 2013 09:35:05

Napsal Bluemoon;914974
ten vas vypis je k nicemu, pokud neukazete, co hledal a kam pristupoval
Jestli utocnik generuje adresy, kde posila promenny nebo si nastavuje cookies ci session nebo vam jen tak checkuje nejake formulare, to z vypisu nezjistime. Pouze si meni hlavicky prohlizece, nic vic a ani za jakym ucelem.
Jedina rada je zmenit webhosting, protoze jestli tohle mate ve vypisu nebo vam to dal poskytovatel jako zduvodneni, tak to hodne vypovida o jejich profesionalite a hlavne znalostech.

Podrobnější výpis (nic dalšího nemám):

77.236.192.248 - - "HEAD /na-lu.../...hin-046.php HTTP/1.1" 508 - "-" "Opera/7.54 (Windows 98; U) "

77.236.192.248 - - "HEAD /na-lu.../...hin-068.php HTTP/1.1" 200 - "-" "Opera/7.54 (Windows NT 5.1; U) "

77.236.192.248 - - "HEAD /na-lu.../...hin-043.php HTTP/1.1" 200 - "-" "Opera/7.54u1 (Windows NT 5.1; U) "

77.236.192.248 - - "HEAD /na-lu.../...hin-045.php HTTP/1.1" 200 - "-" "Mozilla/5.0 (Windows; U; Win98; de-DE; rv:1.7.6) Gecko/20050321 Firefox/1.0.2"

77.236.192.248 - - "HEAD /na-lu.../...hin-047.php HTTP/1.1" 200 - "-" "Mozilla/5.0 (X11; U; Linux ppc; en-US; rv:1.7.6) Gecko/20050325 Firefox/1.0.2 (Debian package 1.0.2-1)"

77.236.192.248 - - "HEAD /na-lu.../...hin-069.php HTTP/1.1" 508 - "-" "Mozilla/5.0 (X11; U; Linux i686; es-AR; rv:1.7.6) Gecko/20050306 Firefox/1.0.1 (Debian package 1.0.1-2)"

77.236.192.248 - - "HEAD /na-lu.../...hin-046.php HTTP/1.1" 200 - "-" "Opera/7.51 (Windows NT 5.1; U) "

77.236.192.248 - - "HEAD /na-lu.../...hin-044.php HTTP/1.1" 200 - "-" "Mozilla/5.0 (X11; U; Linux i686; en-GB; rv:1.7.2) Gecko/20040906"

77.236.192.248 - - "HEAD /na-lu.../...hin-045.php HTTP/1.1" 508 - "-" "Mozilla/5.0 (Windows; U; Win98; pl-PL; rv:1.7.5) Gecko/20041108 Firefox/1.0"

77.236.192.248 - - "HEAD /na-lu.../...hin-047.php HTTP/1.1" 200 - "-" "Mozilla/5.0 (Windows; U; Win98; es-AR; rv:1.7.6) Gecko/20050321 Firefox/1.0.2"

77.236.192.248 - - "HEAD /na-lu.../...hin-070.php HTTP/1.1" 200 - "-" "Mozilla/5.0 (Windows; U; Win98; PL; rv:1.6) Gecko/20040113"

77.236.192.248 - - "HEAD /na-lu.../...hin-048.php HTTP/1.1" 200 - "-" "Mozilla/5.0 (X11; U; Linux i686; ca-AD; rv:1.7.6) Gecko/20050324 Firefox/1.0 (Ubuntu package 1.0.2)"

77.236.192.248 - - "HEAD /na-lu.../...hin-049.php HTTP/1.1" 508 - "-" "Mozilla/5.0 (X11; U; Linux i586; en-US; rv:1.7.6) Gecko/20050325 Firefox/1.0.2 (Debian package 1.0.2-1)"

77.236.192.248 - - "HEAD /na-lu.../...hin-048.php HTTP/1.1" 404 - "-" "Mozilla/5.0 (X11; U; Linux i686; ko-KR; rv:1.7.6) Gecko/20050318 Firefox/1.0.2"

77.236.192.248 - - "HEAD /na-lu.../...hin-046.php HTTP/1.1" 200 - "-" "Opera/6.06 (Windows 98; U) "

77.236.192.248 - - "HEAD /na-lu.../...hin-071.php HTTP/1.1" 200 - "-" "Opera/7.54 (Windows 98; U) "

77.236.192.248 - - "HEAD /na-lu.../...hin-047.php HTTP/1.1" 404 - "-" "Mozilla/5.0 (X11; U; Linux i586; en-US; rv:1.7.6) Gecko/20050325 Firefox/1.0.2 (Debian package 1.0.2-1)"

26. 2. 2013 09:35:05

https://webtrh.cz/diskuse/jedna-se-o-utok-hackera/#reply870966

(4 hodnocení)

17. 3. 2013 21:44:33

nie

17. 3. 2013 21:44:33

https://webtrh.cz/diskuse/jedna-se-o-utok-hackera/#reply870965

Pro odpověď se přihlašte.

Přihlásit