Что можно сказать по этому логу?

Question

[lukoie]

В ISPManager лог показывает вот такой поток за последние минуты.
Что это значит? Кто-то перебирает? Или как расценивать эти урлы в логах?
Там ответ 200. То есть ответ получен.
Но на сервере нет таких директорий, которые указываются в урлах запросов.

68.180.228.159 - - [01/May/2017:14:54:47 +0200] "GET /415/gtntje/reksup/827/vggvp_mmkwsq_hwjns_xkmpngf_kf HTTP/1.0" 200 190973 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp; http://help.yahoo.com/help/us/ysearch/slurp)"
68.180.228.159 - - [01/May/2017:14:54:48 +0200] "GET /415/gtntje/reksup/827/vggvp_mmkwsq_hwjns_xkmpngf_kf HTTP/1.1" 200 191090 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp; http://help.yahoo.com/help/us/ysearch/slurp)"
68.180.228.159 - - [01/May/2017:14:54:51 +0200] "GET /2556/gtntje/reksup/832/vggvp_mmkwsq_hwjns_xkmpngf_kf HTTP/1.0" 200 190823 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp; http://help.yahoo.com/help/us/ysearch/slurp)"
68.180.228.159 - - [01/May/2017:14:54:51 +0200] "GET /2556/gtntje/reksup/832/vggvp_mmkwsq_hwjns_xkmpngf_kf HTTP/1.1" 200 191043 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp; http://help.yahoo.com/help/us/ysearch/slurp)"
68.180.228.159 - - [01/May/2017:14:54:53 +0200] "GET /index.php/ure/promise/11798. HTTP/1.0" 200 190983 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp; http://help.yahoo.com/help/us/ysearch/slurp)"
68.180.228.159 - - [01/May/2017:14:54:54 +0200] "GET /index.php/ure/promise/11798. HTTP/1.1" 200 191100 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp; http://help.yahoo.com/help/us/ysearch/slurp)"
68.180.228.159 - - [01/May/2017:14:54:53 +0200] "GET /9876/gtntje/reksup/834/vggvp_mmkwsq_hwjns_xkmpngf_kf HTTP/1.0" 200 192110 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp; http://help.yahoo.com/help/us/ysearch/slurp)"
68.180.228.159 - - [01/May/2017:14:54:54 +0200] "GET /9876/gtntje/reksup/834/vggvp_mmkwsq_hwjns_xkmpngf_kf HTTP/1.1" 200 192227 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp; http://help.yahoo.com/help/us/ysearch/slurp)"
68.180.228.159 - - [01/May/2017:14:54:54 +0200] "GET /9367/gtntje/reksup/837/vggvp_mmkwsq_hwjns_xkmpngf_kf HTTP/1.0" 200 191056 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp; http://help.yahoo.com/help/us/ysearch/slurp)"
68.180.228.159 - - [01/May/2017:14:54:54 +0200] "GET /9367/gtntje/reksup/837/vggvp_mmkwsq_hwjns_xkmpngf_kf HTTP/1.1" 200 191173 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp; http://help.yahoo.com/help/us/ysearch/slurp)"
68.180.228.159 - - [01/May/2017:14:54:55 +0200] "GET /index.php/35/15232/disembark+bark/ HTTP/1.0" 200 191204 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp; http://help.yahoo.com/help/us/ysearch/slurp)"
68.180.228.159 - - [01/May/2017:14:54:55 +0200] "GET /index.php/35/15232/disembark+bark/ HTTP/1.1" 200 191313 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp; http://help.yahoo.com/help/us/ysearch/slurp)"
68.180.228.159 - - [01/May/2017:14:55:01 +0200] "GET /15938/gtntje/reksup/826/vggvp_mmkwsq_hwjns_xkmpngf_kf HTTP/1.0" 200 190895 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp; http://help.yahoo.com/help/us/ysearch/slurp)"
68.180.228.159 - - [01/May/2017:14:55:02 +0200] "GET /15938/gtntje/reksup/826/vggvp_mmkwsq_hwjns_xkmpngf_kf HTTP/1.1" 200 191012 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp; http://help.yahoo.com/help/us/ysearch/slurp)"
68.180.228.159 - - [01/May/2017:14:55:02 +0200] "GET /18082/gtntje/reksup/829/vggvp_mmkwsq_hwjns_xkmpngf_kf HTTP/1.0" 200 191252 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp; http://help.yahoo.com/help/us/ysearch/slurp)"
68.180.228.159 - - [01/May/2017:14:55:03 +0200] "GET /18082/gtntje/reksup/829/vggvp_mmkwsq_hwjns_xkmpngf_kf HTTP/1.1" 200 191369 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp; http://help.yahoo.com/help/us/ysearch/slurp)"
68.180.228.159 - - [01/May/2017:14:55:10 +0200] "GET /index.php/osse/teenager/0.=VBtL HTTP/1.0" 200 190660 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp; http://help.yahoo.com/help/us/ysearch/slurp)"
68.180.228.159 - - [01/May/2017:14:55:11 +0200] "GET /index.php/osse/teenager/0.=VBtL HTTP/1.1" 200 190769 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp; http://help.yahoo.com/help/us/ysearch/slurp)"
185.112.248.183 - - [01/May/2017:14:55:28 +0200] "GET /customizer.php HTTP/1.0" 200 145254 "-" "Mozilla/5.0 (Windows NT 6.3; WOW64; Trident/7.0; rv:11.0) like Gecko"
185.112.248.183 - - [01/May/2017:14:55:28 +0200] "GET /customizer.php HTTP/1.1" 200 145395 "-" "Mozilla/5.0 (Windows NT 6.3; WOW64; Trident/7.0; rv:11.0) like Gecko"
68.180.228.159 - - [01/May/2017:14:55:30 +0200] "GET /15964/gtntje/reksup/829/vggvp_mmkwsq_hwjns_xkmpngf_kf HTTP/1.0" 200 190698 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp; http://help.yahoo.com/help/us/ysearch/slurp)"
68.180.228.159 - - [01/May/2017:14:55:31 +0200] "GET /15964/gtntje/reksup/829/vggvp_mmkwsq_hwjns_xkmpngf_kf HTTP/1.1" 200 190918 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp; http://help.yahoo.com/help/us/ysearch/slurp)"
68.180.228.159 - - [01/May/2017:14:55:32 +0200] "GET /index.php/dBeer/saw-Ca/3324/ HTTP/1.0" 200 190070 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp; http://help.yahoo.com/help/us/ysearch/slurp)"
68.180.228.159 - - [01/May/2017:14:55:33 +0200] "GET /index.php/dBeer/saw-Ca/3324/ HTTP/1.1" 200 190187 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp; http://help.yahoo.com/help/us/ysearch/slurp)"

Answer 1

[Tsiren Naimanov]

Что все запросы прошли успешно??? не так ли?
везде 200 код

Comments

[lukoie]

но какого?
ткуда вообще берется такой поток сознания? Вот кто решил запрашивать адрес /15964/gtntje/reksup/829/vggvp_mmkwsq_hwjns_xkmpngf_kf и нафига?
Я проверил - оно ведет просто на главную. То есть как я понимаю, на сайте не настроен 404, либо зачем то настроен именно таким образом чтобы любой запрос открывал Заглавную.
Но вот зачем кому-то генерировать такие запросы?

Answer 2

[sim3x]

С большой вероятностью вас хакнули и используют как хостинг для адалта или чего похуже

Запрос на не существующий урл должен возвращать
40х
30х
50х

никак не 200

Comments

[lukoie]

так и есть, там был взлом. навожу порядки
но такой поток запросов на несуществующие урлы меня немного смущает, т.к. таких директорий там и не было, а хтаксесс чист

[lukoie]

А то что запрос возвращает 200 а не 404 это решается в настройках апача?

[sim3x]

lukoie: скорее всего не чист
или внедрение идет глубже

Порядок лучше наводить сразу с установки чистой ОС

[sim3x]

lukoie:
по-умолчанию - нет ресурса по данному урлу = 404

Но в конфигах можно настроить отдачу по 404 контента

[lukoie]

sim3x: та какая ОС, у клиента шаред, мелкий сайт с кошечками(причем в прямом смысле)

[sim3x]

lukoie:
У меня слишком много идей для решения проблемы

У хостера должен быть бекап
Можно начать с него, обновить софт и запустить

Можно сделать статик сайт с того же бекапа

[sim3x]

В настройках апача не шарю

[lukoie]

sim3x: ок всё, сделал в настройках апача. спасибо за помощь.

хз почему оно было выключено
но то что извне шел поток такой белиберды меня немного смущает
понятно чтотам был взлом, но на кой кому понадобилось запрашивать этот набор символов я понять не могу до сих пор.

[sim3x]

lukoie:
нууу
Можно было и самому посмотреть, что там показывалось

Viewer discretion is advised

5 символов несут такую же нагрузку как и index.php?id=5
Но за ними мгут скрываться нормальные страницы

[lukoie]

sim3x: нуууу
я ж смотрел. А Вы почему решили про вьювер дискрешн эдвайсд?
Я ж не писал какой домен.
При открытии ссылок открывается заглавная страница. Причем урл таким и остается в адресной строке.

[sim3x]

lukoie:

А Вы почему решили про вьювер дискрешн эдвайсд?

потому что есть люди которым нравятся вещи, странные вещи

Видимо для владельца ресурса или не для целевого ип доступ к контенту не дали

[lukoie]

sim3x: ну, я по фтп поглядел - вроде все нормально, путей лишних нет, скрипты поудалял. А пути, которые запрашивает интернет не ведут никуда - открывается заглавная.

Answer 3

[dummyman]

Ответ 200 отдает index.php

spoiler

Скрипт тупым перебором ищет знакомые уязвимые скрипты/плагины.
Еще пока не ломанули, волноваться незачто.
Забаньте пид..раса, и пожалуйтесь на ip сюда www.dnsbl.info

Хотя нет. Похоже, реально поисковик
geoiplookup 68.180.228.159
GeoIP Country Edition: US, United States
GeoIP City Edition, Rev 1: US, CA, California, Sunnyvale, 94089, 37.424900, -122.007401, 807, 408
GeoIP ASNum Edition: AS36647 Yahoo

Ну а вы то сами посмотрели, что там за png-хи?
Проверьте дерево каталогов ncdu,
прога покажет какие папки больше всех занимают места.

Comments

[lukoie]

А там нет пингов. Таких путей вообще не существует.
Спасибо.
Я сделал на сервере бекап, и просмотрел на локалхосте.