В логах апача запросы вида «GET auth.mail.ru:80/cgi-bin/auth?Login=jah***@inbox.ru» Что делать?

Question

[Сергей Вершков]

GET http://auth.mail.ru:80/cgi-bin/auth?Login=jah***@i... HTTP/1.0

В логах наблюдаю несколько десятков (может и сотен) подобных запросов... к мобильным сайт наш никакого отношения не имеет, одновременно идет атака SYN... похоже где то взломано или андроид приложение или что-то подобное... или вообще случайность...

Пароли и логины разумеется в открытом виде имеются...

Что делать ?

P.S. В итоге со мной связался руководитель группы безопасности мейл.ру, и подсказал что адрес нашего сервера в марте 2015 и позже был в списках проксей
Ему переданы выловленные данные аккаунтов относящиеся к меилу.ру (их большинство). Следов какого либо редиректа на 80 порту у себя не находим, возможно в списки попали случайно.

Кто-нибудь может подсказать что такое "Gscraper proxies" ? гуглится какая-то несуразица...

Comments

[Сергей Вершков]

fomistoklus: во всех таких строках в конце android 2.x.x и параметр mobile=1, useragent=android передается
навскидку вижу два ip c которых такие запросы 92.51.127.246 и 46.45.18.123

[Сергей Вершков]

мылы с паролями от inbox, yandex, mail, gmail, list

[Сергей Вершков]

На текущий момент пришло порядка 650 адресов с паролями... такое ощущение что это авторизация на сервисе mail.ru из какого-то приложения...

Answer 1

[Viktor Koltcov]

Напишите на почту, адреса которых Вам приходят, где они указывали свой адрес и пароль в последнее время.

Comments

[Сергей Вершков]

Дельный совет, сейчас выберу почту с паролем посложнее, где человек явно ответственный и поймет серьезность проблемы...

[Viktor Koltcov]

sav6622: не забудьте рассказать чем дело кончилось. Очень любопытно.

[Сергей Вершков]

Viktor Koltcov: расскажу... но пока не кончилось... адреса с паролями снова посыпались (как-то партиями они дискретно идут)...
У меня возникло предположение, может нас уже ломанули ранее и собирали на нашем сервере инфу как-раз такого вида (ну или собирались собирать, но что-то пошло не так)... но другой паразитной активности я не вижу (всего сейчас три вида, SYN атака в 1-2 МБИта из СевАмерики, второе - сыплются адреса с паролями =)), третье - запросы к пейполу и другим платным сервисам (сони и т.д.)

[PO6OT]

sav6622: ну чего вы жалуетесь?
собирайте пароли, заходите на почты, смотрите письма от сайтов типа paypal, webmoney и т.п. и будет вам щастье

[Сергей Вершков]

Вадим Егоров: Не стоит распространять свои желанные цели на других...

Answer 2

[Сергей Н]

Скорее всего, вас взломали, вероятно, установили модуль для apache. Судя по упоминанию gscraper, установлен модуль, который умеет становиться прокси для www.gscraper.com (там в фичах упомянут аутоматический поиск этих прокси). Собственно, таким образом ваш сервер, видимо и используют - как прокси для сокрытия своих действий.

Что делать, без дополнительной информации сказать сложно. Надо узнавать, что и как установили и вообще, установили ли. Я бы начал с проверки хоста через rkhunter, chkrootkit, проверки контрольных сумм файлов из пакетов.

Comments

[Сергей Вершков]

подозреваю что модуль не установился(не смогли), ввиду того что все ботва стала писаться в логи апача в прямом виде и переадресации явно не было... проверять будем дальше...