我在我的第一个新 VPS 上安装了 Tomcat 6。我已将 AccessLogValve 添加到 server.xml 配置 Tomcat 文件中。在 tomcat 日志中,我首先看到以下内容:
xxx.xxx.xxx.xxx - - [04/Mar/2011:23:43:12 +0000] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 - "-" "-"
第二天我访问了这个网站(在互联网浏览器中),tomcat 日志中的一个请求与上面的记录具有相同的 IP,但是具有与我的类似的 User-Agent 标头(和会话 cookie - 我通过我的 webapp 日志检查了这一点)。
晚上,其他 2 个 IP 重复了此请求:“GET /w00tw00t.at.ISC.SANS.DFind:)”,第二天又劫持了一个请求。这怎么可能?这 3 个 IP 来自 2 个国家(其中 2 个是我的 VPS 所在的国家)。
答案1
这只是某种机器人,用于扫描网站漏洞。我见过很多次了,只要你的服务器配置正确并应用了所有安全更新,就不会出现问题。
如果你仍然想禁止这个机器人,请看一下这篇文章:http://blog.urlvoid.com/w00tw00t-at-isc-sans-dfind-web-scanner/