在准备 RHSCA 考试时,我设置了第一台家庭服务器,并很快发现机器人已经开始请求常见的易受攻击的文件。一开始我很震惊,但当我发现这些特定的尝试是多么无害和无效时,我就觉得很有趣。
现在我在我的 apache access_log 中看到一些奇怪的请求,我只是不明白,希望有人可以帮助我澄清。
我不明白为什么机器人会从我的服务器路径中请求另一台服务器。据我了解,机器人正在请求日志中的以下资源,如下所示:http://MY.IP.ADD.RESS/http://61.152.144.145/judge.php
58.218.199.250 - - [15/Sep/2012:06:47:38 -0500] "GET http://61.152.144.145/judge.php HTTP/1.1" 404 287 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
这根本就没有任何意义。我收到了不少这种毫无意义的请求,我想知道从其他人的服务器请求另一台服务器是否会对入侵者有用,或者这只是一个不知道自己在做什么的脚本小子。
我的访问日志中有更多这样的例子。
58.218.199.250 - - [14/Sep/2012:05:28:48 -0500] "GET http://59.53.91.9/proxy/judge.php HTTP/1.1" 404 289 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
59.53.91.9 - - [14/Sep/2012:08:26:55 -0500] "GET http://59.53.91.9/proxyheader.php HTTP/1.0" 404 289 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
59.53.91.9 - - [14/Sep/2012:08:26:57 -0500] "GET http://www.yahoo.com/ HTTP/1.0" 200 101 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
59.53.91.9 - - [14/Sep/2012:13:11:58 -0500] "GET http://59.53.91.9/proxyheader.php HTTP/1.0" 404 289 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
59.53.91.9 - - [14/Sep/2012:13:11:59 -0500] "GET http://www.yahoo.com/ HTTP/1.0" 200 101 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
58.218.199.227 - - [14/Sep/2012:15:34:53 -0500] "GET http://59.53.91.9/httpproxy/proxyheader.php HTTP/1.1" 404 299 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
我在想,也许这些机器人请求这些文件是为了鼓励主机管理员实际访问这些地址,因为他们出于收集数据或其他目的的好奇心。我想这主要是因为我访问了一个,它对我进行了 whois 查找并将该信息显示在页面上。我只尝试了一种,所以我不知道这是否是一种常见模式。
简而言之,为什么这些机器人从我网站的文件结构中请求其他网站?我用的是CentOS。
答案1
这些请求正是 Web 浏览器发送到 Web 代理的请求,因此远程客户端可能会探测开放的 Web 代理。