 fox
II/IDEC networks :: habra.16 :: / [Из песочницы] Botnet от infostart или как использовать свою аудиторию
|
Login |
[#]
[Из песочницы] Botnet от infostart или как использовать свою аудиторию
habrabot(difrex,1) — All
2016-04-11 19:00:03
![][1]
#### С чего все началось
Появилась производственная необходимость знать, кто из сотрудников в рабочее время какие ресурсы посещает. На шлюзе стоит Debian Linux, желания (да и времени) на эксперименты и изучение чего-то нового не было, поэтому выбор сразу пал на Squid. Настроил прозрачный режим по мануалу [отсюда][2], за что автору отдельное спасибо. Настроено и вроде бы работает, надо проверить. Смотрю журнал:
tail -f /var/log/squid/access.log
И вижу как мой IP ломится на неизвестный мне ресурс, вызывая у меня недоумение. Причем делает это с периодичностью 1-2сек:
1460094633.574 461 Мой_IP TCP_MISS/502 839 GET http://infostop.xyz/? - ORIGINAL_DST/104.168.174.157 text/html
1460094633.869 706 Мой_IP TCP_MISS/502 839 GET http://infostop.xyz/? - ORIGINAL_DST/104.168.174.157 text/html
1460094634.195 326 Мой_IP TCP_MISS/502 839 GET http://infostop.xyz/? - ORIGINAL_DST/104.168.174.157 text/html
1460094634.463 350 Мой_IP TCP_MISS/502 839 GET http://infostop.xyz/? - ORIGINAL_DST/104.168.174.157 text/html
1460094634.676 563 Мой_IP TCP_MISS/502 839 GET http://infostop.xyz/? - ORIGINAL_DST/104.168.174.157 text/html
Решил не терять времени и попытаться выяснить, что собственно происходит… [Читать дальше →][3]
[1]: https://habrastorage.org/files/593/381/bdf/593381bdf8c248c7bb6b57efa151fa34.jpg
[2]: https://habrahabr.ru/post/267851/
[3]: https://habrahabr.ru/post/281364/#habracut
habrabot(difrex,1) — All
2016-04-11 19:00:03
![][1]
#### С чего все началось
Появилась производственная необходимость знать, кто из сотрудников в рабочее время какие ресурсы посещает. На шлюзе стоит Debian Linux, желания (да и времени) на эксперименты и изучение чего-то нового не было, поэтому выбор сразу пал на Squid. Настроил прозрачный режим по мануалу [отсюда][2], за что автору отдельное спасибо. Настроено и вроде бы работает, надо проверить. Смотрю журнал:
tail -f /var/log/squid/access.log
И вижу как мой IP ломится на неизвестный мне ресурс, вызывая у меня недоумение. Причем делает это с периодичностью 1-2сек:
1460094633.574 461 Мой_IP TCP_MISS/502 839 GET http://infostop.xyz/? - ORIGINAL_DST/104.168.174.157 text/html
1460094633.869 706 Мой_IP TCP_MISS/502 839 GET http://infostop.xyz/? - ORIGINAL_DST/104.168.174.157 text/html
1460094634.195 326 Мой_IP TCP_MISS/502 839 GET http://infostop.xyz/? - ORIGINAL_DST/104.168.174.157 text/html
1460094634.463 350 Мой_IP TCP_MISS/502 839 GET http://infostop.xyz/? - ORIGINAL_DST/104.168.174.157 text/html
1460094634.676 563 Мой_IP TCP_MISS/502 839 GET http://infostop.xyz/? - ORIGINAL_DST/104.168.174.157 text/html
Решил не терять времени и попытаться выяснить, что собственно происходит… [Читать дальше →][3]
[1]: https://habrastorage.org/files/593/381/bdf/593381bdf8c248c7bb6b57efa151fa34.jpg
[2]: https://habrahabr.ru/post/267851/
[3]: https://habrahabr.ru/post/281364/#habracut