Доменчик с 5 Гб траффика в сутки

Оксиген, а какого трафа больше? входящего или исходящего? ip случаем не русские для какого-нить из наших крупных провайдеров?

А то, может, домен очень даже ценный для выравнивания трафика :)

Траффик по всей видимости исходящий, т.к. закачка чего-либо на сервер не предусмотрена. Айпишники ща выложу че набежит за пару минут.

Вот что набежало за минуту:

71.71.28.12

218.50.10.144

87.2.130.26

86.193.152.111

195.229.236.214

81.37.174.115

86.217.24.190

189.135.118.78

62.107.142.199

201.47.17.2

88.230.3.46

200.82.93.100

85.59.94.178

83.31.42.2

172.177.21.175

83.31.28.81

84.227.36.220

213.147.46.186

88.3.195.115

87.249.56.199

189.139.92.176

82.216.209.65

88.154.165.189

77.216.94.81

218.147.185.63

189.171.178.164

85.55.162.158

121.150.90.70

83.184.236.163

68.73.169.41

151.72.114.130

82.227.192.84

87.221.31.136

89.57.184.120

85.87.10.81

194.158.82.209

80.126.98.55

69.79.220.177

80.25.245.133

59.11.4.198

90.17.0.14

201.255.64.9

82.107.242.16

82.134.142.222

122.128.209.117

82.84.181.236

77.179.53.149

90.22.218.64

210.222.51.187

213.96.221.11

86.74.167.214

201.37.33.25

89.59.69.71

82.237.60.22

80.58.205.34

80.128.223.45

84.99.252.157

84.184.90.240

201.130.111.15

83.142.112.35

81.172.61.101

81.37.126.171

82.217.78.106

83.23.163.221

195.116.35.54

84.1.62.246

83.89.116.46

68.62.108.157

82.253.177.58

217.216.153.43

91.7.97.174

172.185.87.66

90.13.205.227

Если не ошибаюсь, это троянцы стучатся для того что бы получить список серверов для рассылки спама.

Нагнать входящего трафика можно и без желания владельца сервера.

Shema, а как определить, входящий или исходящий?

Оксиген, если запросы идут методом GET, то скорее всего входящего трафика почти нет, если POST'ом, то можно посмотреть что заливают через анализ

<?

print_r ($_POST);

?>

Соответственно исходящего трафика можно нагнать, если вмсето запрашиваемых файлов подложить большие, например, iso-ку какую :) но если это трояны, пользователи попадут на реальный трафик =)

Интересная ситуация. Как уже сказал actimel (когда ты успел за 2 года набрать 4,294,967,293 сообщений?? :) ), скорее всего до вас этот домен использовался каким-нибудь вирусописателем для синхронизации действии зараженных тачек. Создайте файлы, к которым ломяться, и запихните туда следующее:

<?php

$f = fopen('request.log', 'a');

$post_data_str = '';

foreach ($_POST as $key=>$value) $post_data_str .= $key.'=>'.$value.'&';

fwrite ($f,$_SERVER['REMOTE_ADDR'].'::'.$_SERVER['REQUEST_URI'].'::'.$post_data_str."\r\n");

?>

Если файлы не php, то в .htaccess добавьте

AddHandler application/x-httpd-php5 .xxx

xxx - расширение запрашиваемых файлов

Создайте ещё один файл, например log_write.php следующего содержания:

<?php

$f = fopen('request.log', 'r');

echo "<table border=\"1\">\r\n";

echo '<th>IP</th><th>FILE</th><th>POST</th>'."\r\n";

while (!feof($f)) {

  $f_str = fgets($f);

  if ($f_str != '') {

    $arr = explode('::',$f_str);

    $post = explode('&',$arr[2]);

    $post_str = '';

    for ($i=0;$i<count($post);$i++) $post_str .= $post[$i].'<br />';

    echo '<tr><td>'.$arr[0].'</td><td>'.$arr[1].'</td><td>'.$post_str."</td></tr>\r\n";

  }

}

echo "</table>\r\n";

?>

Shema, в вашем примере массив пост увидят те, кто ломяться на сайт, а не мы.

По-моему, все просто - раньше домен принадлежал рассылателю троянов, добытая троянами информация шла на этот домен и собиралась в тех самых несуществующих файлах.

Это разосланные трояны стучатся с чужими паролями! 😂 😂 😂

Я же написал - анализировать ☝

ob_start ();

$flog = fopen ("access.log", "a+");

$data = "\n".date ("d.m.Y H:i:s")."\n";

print_r ($_POST);

$data .= ob_get_contents();

fwrite ($flog, $data);

fclose ($flog);

ob_flush ();