Назад | Перейти на главную страницу

Странные запросы URL-адреса 404

Я запускаю сервер nodejs с экспресс-фреймворком. я использую Keymetrics.io чтобы отслеживать статус моего приложения.

Я отслеживал ошибки 500 и 404 и отправлял их в Keymetrics, и ошибки 404 показывают что-то странное, чего я раньше не видел. Надеюсь, кто-нибудь сможет понять, что это такое.

Обычно я продолжаю получать эти запросы на публикацию URL каждый 2-3 минуты:

Очевидно, мой сервер указывает им на страницу 404, но кто-нибудь знает, что это? это бот? мне нужно знать о какой-то уязвимости?

Некоторые примеры заголовков запросов

{ accept: '*/*',
'user-agent': 'Mozilla/5.0 (Windows; U; MSIE 7.0; Windows NT 6.0; en-US)',
host: '109.235.76.136:8080',
'content-length': '701',
connection: 'Keep-Alive',
'cache-control': 'no-cache',
cookie: 'vacwatch=s%3Am_Rj28ASGR2gLNOoZT385QxXJTaPuGAp.7g89Wz41URpTiJSxQ8R8UaQgMRPUl94NNjruqluZR40' }

{ accept: '*/*',
'user-agent': 'Mozilla/5.0 (Windows; U; MSIE 7.0; Windows NT 6.0; en-US)',
host: '109.235.76.136:8080',
'content-length': '677',
connection: 'Keep-Alive',
'cache-control': 'no-cache',
cookie: 'vacwatch=s%3AfdU50VdWoHd3jSmbbGKt4IXUTWvauxa4.OpRmN39XUis7sDkJrRtn83Uw%2FSo5VyJ1fZRcXT7HWH8' }

изменить: запросы поступают с нескольких разных IP-адресов

Вот это да. Так что да. Я понял, почему эти URL-адреса продолжают появляться в моем журнале 404.

Сегодня я заметил ошибку в моем журнале исключений: письмо было отклонено и не доставлено. Поэтому я проверяю точные сведения об этой ошибке, почему письмо не может быть доставлено: 550 This message was classified as SPAM and may not be delivered

Поэтому я проверяю в Интернете инструмент проверки черного списка, чтобы узнать, где я попал в черный список и почему. И я получил только один результат, говорящий, что я внесен в черный список SPAMHAUS.

Я захожу на там сайт и отдаю свой домен на проверку, да и вообще. Это подтверждает, что я нахожусь в их черном списке Spamhaus

Я нажимаю на свою запись, чтобы получить дополнительные сведения о блоке, и вот что я вижу:

The host at this IP address is most likely compromised and 
running a malicious HTTP daemon (nginx) on port 8080 (TCP)
which is being used by cybercriminals to control computers
infected with a Trojan called Feodo.

Feodo botnet controller located here:
http://109.235.76.136:8080/QrdO/fknypBAAAAA/PHmnSCAAAAA/

Feodo is a sophisticated banking Trojan, used to commit 
ebanking fraud. More information about this Trojan can be 
found here: http://blog.fireeye.com/research/2010/10/feodosoff-a-new-botnet-on-the-rise.html

To get this issue solved, you need to locate and identify 
the malicious nginx daemon on the compromised server 
(likely located in a hidden directoy in the /tmp/ directory)
and remove it completely. To avoid that the server gets hacked again, please ensure that you change all SSH credentials (passwords) and that all installed software is up to date (including OS).

More information how you can secure your SSH daemon 
can be found here: http://www.spamhaus.org/faq/section/Generic%20Questions#362

Я был сбит с толку, у меня нет запущенного nginx, поэтому я проверяю дату записи, и в ней указано 2013-11-14 18:39:31 GMT. Похоже, предыдущий владелец этого IP был заражен этим ботнетом. Что в основном продолжает рассылать эти странные запросы на публикацию URL.