我刚刚注意到 /var/log/apache2 中的 access.log 中有数百个奇怪的条目,它们都看起来像这样:
173.193.233.143 - - [26/Jun/2011:13:50:24 +0400] “获取http://google.com/google.comhttp://google.com/google.comhttp://google.com/google.comhttp://google.com/google.comhttp://google.com/google.comhttp://google.com/google.comhttp://google.com/google.comhttp://google.com/google.comhttp://google.com/google.comhttp://google.com/google.comhttp://google.com/google.comhttp://google.com/google.comhttp://google.com/google.comhttp://google.com/google.comhttp://google.com/google.comhttp://google.com/google.comhttp://google.com/www.bing.comhttp://www.bing.com/search?q=from+%2findex.php?showuser%3d+%22Comments%22+6&filt=all&first=41&FORM=POREHTTP/1.0“200 42542”http://google.com/google.comhttp://google.com/google.comhttp://google.com/google.comhttp://google.com/google.comhttp://google.com/google.comhttp://google.com/google.comhttp://google.com/google.comhttp://google.com/google.comhttp://google.com/google.comhttp://google.com/google.comhttp://google.com/google.comhttp://google.com/google.comhttp://google.com/google.comhttp://google.com/google.comhttp://google.com/google.comhttp://google.com/google.comhttp://google.com/www.bing.comhttp://www.bing.com/search?q=from+%2findex.php?showuser%3d+%22Comments%22+6&filt=all&first=41&FORM=PORE“Mozilla/4.0(兼容;MSIE 6.0;Windows NT 5.1;SV1;.NET CLR 1.1.4322;XMPP Tiscali Communicator v.10.0.2;.NET CLR 2.0.50727)”
有人能解释这种奇怪的行为吗?
答案1
那将对受感染的机器进行扫描,以查看您的机器是否容易受到用于感染那些机器的安全故障的攻击,以便他们可以将感染传播给您。
如果你已经打了最新的补丁,那么你可能没什么可担心的——这种事情经常发生(我仍然偶尔看到尝试扫描古老的PHP 和 IIS+ASP 中的缺陷,甚至对于没有运行这些服务器/服务的机器也是如此)。
如果该字段是响应代码而不是其他内容(例如请求大小),则“200”意味着您的服务器在响应请求时发送了错误以外的其他内容,因此您可能值得自己请求该 URL 以查看您得到的响应。