Спам-сервер ботнета с запросами POST и GET

Каждый запрос приходит с другого IP. Поэтому я думаю, что это жертвы ботнетов, которые все еще запрашивают скрипт ботнета, который я удалил неделю назад.

Здесь вы можете увидеть крошечную часть журнала доступа:

95.228.246.9 - - [26/Oct/2013:15:40:52 +0200] "POST /eze/panel/entry.php HTTP/1.1" 302 - "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; BRI/2; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)"
95.228.246.9 - - [26/Oct/2013:15:40:52 +0200] "GET / HTTP/1.1" 503 41 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; BRI/2; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)"
72.85.226.216 - - [26/Oct/2013:15:40:53 +0200] "POST /eze/panel/entry.php HTTP/1.1" 302 - "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.4506.2152; .NET4.0C; .NET4.0E; IPH 1.1.21.4019; BRI/2)"
72.85.226.216 - - [26/Oct/2013:15:40:53 +0200] "GET / HTTP/1.1" 503 41 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.4506.2152; .NET4.0C; .NET4.0E; IPH 1.1.21.4019; BRI/2)"
94.201.237.81 - - [26/Oct/2013:15:40:55 +0200] "POST /eze/panel/entry.php HTTP/1.1" 302 - "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)"
94.201.237.81 - - [26/Oct/2013:15:40:55 +0200] "GET / HTTP/1.1" 503 41 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)"
72.85.226.216 - - [26/Oct/2013:15:40:58 +0200] "POST /eze/panel/entry.php HTTP/1.1" 302 - "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.4506.2152; .NET4.0C; .NET4.0E; IPH 1.1.21.4019; BRI/2)"
94.201.237.81 - - [26/Oct/2013:15:40:58 +0200] "POST /eze/panel/entry.php HTTP/1.1" 302 - "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)"
72.85.226.216 - - [26/Oct/2013:15:40:59 +0200] "GET / HTTP/1.1" 503 41 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.4506.2152; .NET4.0C; .NET4.0E; IPH 1.1.21.4019; BRI/2)"
94.201.237.81 - - [26/Oct/2013:15:41:00 +0200] "GET / HTTP/1.1" 503 41 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)"
188.135.15.144 - - [26/Oct/2013:15:41:00 +0200] "POST /eze/panel/entry.php HTTP/1.1" 302 - "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; Tablet PC 2.0; BRI/1; InfoPath.2; BRI/2)"
188.135.15.144 - - [26/Oct/2013:15:41:01 +0200] "GET / HTTP/1.1" 503 41 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; Tablet PC 2.0; BRI/1; InfoPath.2; BRI/2)"
94.201.237.81 - - [26/Oct/2013:15:41:01 +0200] "GET /eze/panel/config.bin HTTP/1.1" 302 - "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)"
94.201.237.81 - - [26/Oct/2013:15:41:02 +0200] "GET / HTTP/1.1" 503 41 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)"
85.154.191.178 - - [26/Oct/2013:15:41:02 +0200] "POST /eze/panel/entry.php HTTP/1.1" 302 - "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C)"
85.154.191.178 - - [26/Oct/2013:15:41:02 +0200] "POST /eze/panel/entry.php HTTP/1.1" 302 - "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C)"
85.154.191.178 - - [26/Oct/2013:15:41:03 +0200] "GET / HTTP/1.1" 503 41 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C)"
94.201.237.81 - - [26/Oct/2013:15:41:03 +0200] "GET /eze/panel/config.bin HTTP/1.1" 302 - "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)"
85.154.191.178 - - [26/Oct/2013:15:41:03 +0200] "GET / HTTP/1.1" 503 41 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C)"

Запросы GET также запрашивают всю страницу индекса каждый раз. Это приводит к безумному использованию полосы пропускания.

Я старался:

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{REQUEST_URI} /eze/panel/entry\.php
RewriteRule .* - [F]
</IfModule>

Но это не работает. Может кто-нибудь помочь мне, чтобы заблокировать все эти неприятные вещи.

Источник

0 ответов

Другие вопросы по тегам