在 Debian 服务器上运行 apache 时,我开始监控日志,并发现了一些奇怪的事情。有人知道这个 any-request-allowed.com 网站试图做什么吗?我该如何阻止这种潜在的恶意流量?
已清理的日志:
[46.161.11.245] - [13/Apr/2011:13:02:09 -0700] | api.goolertech.com "POST http://myinfo.any-request-allowed.com/?strGet=get2566 HTTP/1.1" 404 294 | -
[46.161.11.245] - [15/Apr/2011:13:02:53 -0700] | api.goolertech.com "POST http://myinfo.any-request-allowed.com/?strGet=get8888 HTTP/1.1" 404 294 | -
[46.161.11.245] - [17/Apr/2011:13:05:04 -0700] | api.goolertech.com "POST http://myinfo.any-request-allowed.com/?strGet=get9659 HTTP/1.1" 404 294 | -
其中 404 是错误代码,294 是响应的大小。
编辑:
进行了数据包捕获,这是我收到的请求:
POST http://myinfo.any-request-allowed.com/?strGet=get2566 HTTP/1.1
Host: myinfo.any-request-allowed.com
Pragma: no-cache
Accept: */*
Proxy-Connection: Keep-Alive
Cookie: strCookie=cookie2566
Content-Length: 16
Content-Type: application/x-www-form-urlencoded
strPost=post2566
答案1
这看起来像是互联网背景噪音。一个可疑或受感染的主机可能正在扫描开放的网络服务器的端口,然后测试它们是否将请求转发POST到第三方网站。您的服务器自然会将请求 404 化。它很可能不是针对您的,而且很有可能很快就会停止。
也就是说,这种流量的时间安排异常规律,因此如果它不停止,请求的来源就是46.161.11.245。如果您阻止任何内容,则在防火墙处阻止该主机。(通过 iptables)
答案2
您可以使用 iptables 来阻止此请求。这是一个 post 请求,因此不确定它发送了什么数据。可以尝试运行 tcpdump 来获取该信息。