Форум Apache

У меня на сайте установлен счётчик посещений, и когда я работаю с тестовой локальной копией сайта, то хиты записываются в локальную же базу данных, идентичную серверной. Естественно, при этом для каждого хита записывается IP = 127.0.0.1 и юзер-агент одного из моих собственных браузеров. Но вот я обнаружил, что сегодня в эту локальную таблицу попали три записи с другими IP и юзагентами. Все на главную страницу сайта. Все имеют первые две цифры и точку в IP как у моего провайдера (один из них полностью совпадает по маске с теми, которые назначает мне провайдер при выходе в интернет). Два хита без юзагента, а один (тот, что с IP, похожим на мой) - Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; HbTools 4.6.2), а у меня Win2000, и про HbTools я никогда ничего не слышал. В общем, кто-то загружал с моей машины страницу моего локального сайта!
Как такое возможно? Это случайность или чей-то умысел.

Бывает сложно сломать удалённый хост - задача значительно упрощается, если злоумышленик и жертва находятся в одной локальной сети. Этим и пользуются начинающие кулхацкеры, которые ломают своих соседей по провайдеру. Поставьте пароли на учётные записи, если они у вас до сих пор не выставлены и поставьте FireWall, чтобы отсечь визитёров из вне. Проверьте свою машину на трояны, скорее всего парочку вам подсадили (для того, чтобы вас потом найти можно было, при следующем выходе, когда у вас сменится динамически назначаемый IP-адрес). Пожалуйтесь провайдеру, но самое главное - поставьте FireWall, хотя бы Windows-ский включите, если у вас Windows XP.

Да.. Во многом я ещё чайник.

1) Пароли на учётные записи. Что это, где это и как это? Если связано с локальными сетями, то я не понял, разве сосед по провайдеру - это локальная сеть? Ведь до выхода в интернет мой компьютер совершенно изолирован.
2) Трояны. Только что обновил базы Касперского и просканировал весь хард - ничего. Или вирусов нет, или Касперский недостаточно хорош. А Вы чем вирусню отлавливаете?
3) Файрволл. У меня всегда в инете работает AVP-монитор Касперского. Все функции файрволла он исполнять не может, но вирусы вроде исправно ловит и работу тормозит совсем незаметно. Файрволлы же, я слышал, тормозят сильнее. А без файрволла эту проблему не решить? Если нет, то какой файрволл посоветуете? У меня Win-2000, в нём встроенных вроде нет. Слышал, что Outpost неплохо работает. А Вы пользуетесь и каким?
4) Как должна примерно выглядеть жалоба провайдеру - на что жаловаться?
5) И ещё. Может ли быть, что эти хиты неумышлены? А если умышлены, то как это сработано и что это может дать хакеру?

Прошу прощения за обилие вопросов. Ну чайник я в этих делах! :0))

1) Пароли имеются на вход компьютер - вы включаете компьютер и он спрашивает пароль, причём пароль должен быть и на текущую запись и на администратора.
2) Ну вроде Касперский должен отлавливать, хотя антивирус не предназначен для отлавливания adware-софта (шпионы) - загрузите ещё Ad-Ware - у них есть бесплатная версия - прочешите машину ещё и ей.
3) Это не плохо, я про Outpost слышал, но больше плохого, чем хорошего - хотел коробку купить, да чего-то так и не собрался, а теперь найти не могу... У меня вообще какой-то бесплатный стоит Prox + от Windows XP
4) Напишите то, что написали нам с указанием IP-адресов и времени посещения с этих IP-адресов с просьбой принять меры. Приложите логи Apache.
5) Маловероятно, что хиты неумышленные. Злоумышленик исследует вашу систему - смотрит открытые порты и сервисы и устанавливает шпионский софт или трояны. Таким образом заражаются целые сети, с помощью их осуществляются более крупные атаки на другие сети и хосты или проводить вычисления, например по подбору пароля. Более того, такие заражённые сети представляют коммерческий интерес: продаются и покупаются хакерскими группами. Для вас это означает, что к вам могут придти представители правопорядка с понятыми, изъять ваш компьютер и предъявить обвинение в том, что вы что-то взломали. Поэтому даже если ваше пиьмо провайдеру не избавит вас от посетителей, то может помочь вам оправдаться в случае возникновения неприятностей, так как в ФСБ тоже план по поимке злоумышлеников и он каждый год растёт и вы будет очень кстати, так как настоящих хакеров поймать труденее.

Я взялся посмотреть логи Apache, и обнаружил, что пытаются ломать довольно активно - в месяц фиксируется в среднем по 10-20 визитов извне! А 27 января вообще массированная атака была: за 8 минут зафиксировано больше 200 запросов - пытались открыть всё, что угодно!
Вот малая их часть для примера:

84.53.198.161 - - [27/Jan/2005:13:53:27 +0300] "PUT /gjgorgkglt.txt HTTP/1.1" 405 314 84.53.198.161 - - [27/Jan/2005:13:53:51 +0300] "TRACK /[yotcyuutad].html HTTP/1.1" 403 307 84.53.198.161 - - [27/Jan/2005:13:54:11 +0300] "GET /cgi-bin/.htpasswd HTTP/1.1" 403 301 84.53.198.161 - - [27/Jan/2005:13:54:12 +0300] "GET /.htpasswd.old HTTP/1.1" 403 297 84.53.198.161 - - [27/Jan/2005:13:54:13 +0300] "GET /.htpasswd~ HTTP/1.1" 403 294 84.53.198.161 - - [27/Jan/2005:13:54:14 +0300] "GET /cgi-bin/.htpasswd~ HTTP/1.1" 403 302 84.53.198.161 - - [27/Jan/2005:13:54:15 +0300] "GET /globals.jsa HTTP/1.1" 404 291 84.53.198.161 - - [27/Jan/2005:13:54:15 +0300] "GET /server-status HTTP/1.1" 404 293 84.53.198.161 - - [27/Jan/2005:13:54:16 +0300] "GET /server-info HTTP/1.1" 404 291 84.53.198.161 - - [27/Jan/2005:13:54:17 +0300] "GET /cgi-bin/cachemgr.cgi HTTP/1.1" 404 300 84.53.198.161 - - [27/Jan/2005:13:54:18 +0300] "GET /cgi-bin/WorldClient.cgi HTTP/1.1" 404 303 84.53.198.161 - - [27/Jan/2005:13:54:19 +0300] "GET /WorldClient.cgi HTTP/1.1" 403 299 84.53.198.161 - - [27/Jan/2005:13:54:19 +0300] "GET /phpMyAdmin HTTP/1.1" 404 290 84.53.198.161 - - [27/Jan/2005:13:54:20 +0300] "GET /phorum/plugin/replace/plugin.php HTTP/1.1" 404 312 84.53.198.161 - - [27/Jan/2005:13:54:21 +0300] "GET /phorum/admin/actions/del.php HTTP/1.1" 404 308 84.53.198.161 - - [27/Jan/2005:13:54:22 +0300] "GET /cgi-bin/environ.pl+%00 HTTP/1.1" 404 299 84.53.198.161 - - [27/Jan/2005:13:54:22 +0300] "GET /sek-bin/helpwin.gas.bat? HTTP/1.1" 404 303 84.53.198.161 - - [27/Jan/2005:13:54:23 +0300] "GET /config/connection.conf HTTP/1.1" 404 302

Почти на все запросы выданы ответы 404, 403 и 400. Но некоторые прошли удачно. Те, что просто загрузили страницу локального сайта, кажется, не опасны. Но некоторые мне непонятны. Подскажите, что это за запросы (TRACE, HEAD, OPTIONS) и какую инфу и возможности получили хакеры в результате их удачного выполнения?

84.53.198.161 - - [27/Jan/2005:13:53:49 +0300] "TRACE /estolpomxy.html HTTP/1.1" 200 58 84.53.198.161 - - [27/Jan/2005:13:58:16 +0300] "GET http://84.53.198.161:3128/ HTTP/1.0" 200 20955 208.62.55.75 - - [16/Feb/2005:02:23:54 +0300] "HEAD / HTTP/1.0" 200 - 84.53.18.94 - - [23/Feb/2005:20:08:49 +0300] "OPTIONS / HTTP/1.1" 200 0

В ближайшее время попробую поставить файрволл Prox + от Windows XP, как у Вас. Он защитит от подобных запросов? И ещё не знаю, встанет ли он на win2000?

TRACE, HEAD, OPTIONS - это команды протокола HTTP - просто проверяли, что у вас разрешено, а чего нет... напишите скрипт который прочешет машину и поищите файлы с расширением php, размер которых привышает 100 Кб.
Firewall может защитить от запросов, но и крови у вас выпить немало, так как нужно будет прописывать всё что имеется в системе. Первый FireWall встанет под win2000, я не помню входит в состав Win2000 встроенный FireWall или нет...