В логах апача запросы вида «GET auth.mail.ru:80/cgi-bin/auth?Login=jah***@inbox.ru» Что делать?

GET http://auth.mail.ru:80/cgi-bin/auth?Login=jah***@i... HTTP/1.0

В логах наблюдаю несколько десятков (может и сотен) подобных запросов... к мобильным сайт наш никакого отношения не имеет, одновременно идет атака SYN... похоже где то взломано или андроид приложение или что-то подобное... или вообще случайность...

Пароли и логины разумеется в открытом виде имеются...

Что делать ?

P.S. В итоге со мной связался руководитель группы безопасности мейл.ру, и подсказал что адрес нашего сервера в марте 2015 и позже был в списках проксей
Ему переданы выловленные данные аккаунтов относящиеся к меилу.ру (их большинство). Следов какого либо редиректа на 80 порту у себя не находим, возможно в списки попали случайно.

Кто-нибудь может подсказать что такое "Gscraper proxies" ? гуглится какая-то несуразица...
  • Вопрос задан
  • 952 просмотра
Пригласить эксперта
Ответы на вопрос 2
Vityarik
@Vityarik
Напишите на почту, адреса которых Вам приходят, где они указывали свой адрес и пароль в последнее время.
Ответ написан
Albibek
@Albibek
Вопросы есть? А если найду?
Скорее всего, вас взломали, вероятно, установили модуль для apache. Судя по упоминанию gscraper, установлен модуль, который умеет становиться прокси для www.gscraper.com (там в фичах упомянут аутоматический поиск этих прокси). Собственно, таким образом ваш сервер, видимо и используют - как прокси для сокрытия своих действий.

Что делать, без дополнительной информации сказать сложно. Надо узнавать, что и как установили и вообще, установили ли. Я бы начал с проверки хоста через rkhunter, chkrootkit, проверки контрольных сумм файлов из пакетов.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы