最近,在我的 apache 的错误日志中,我发现了很多这样的行:
[Mon Sep 12 12:34:56 2011] [error] [client ***.***.***.***] 0U, referer: http://www.***.com/
我的域名是“www.***.com”。0U是什么意思?部分错误请求对应的响应代码是416。我的apache版本是2.2.14。
PS:我用来apache+mod_jk+tomcat6建立我的网站。apache是前端服务器,所以没有cgi或php模块。
2011-09-12 12:34:56 218.85.19.63 "GET /site/public/stylesheets/i.css HTTP/1.1" 550 416 687 590 "9e.cn/"; "Mozilla/5.0 (Wi ndows; U; Windows NT 5.1; ) AppleWebKit/534.12 (KHTML, like Gecko) Maxthon/3.0 Safari/534.12
是对应的访问日志,注意416是http响应码,但不是所有错误请求对应的响应码都是416,访问日志的格式为"%{%Y-%m-%d %H:%M:%S}t %h \"%r\" %q %D %>s %I %O \"%{Referer}i\" \"%{User-Agent}i\"。
答案1
我猜有人正在尝试做这但尚未完全获得 Range: 标头的值。
可能0U,应该只是0,HTTP 请求的 Range: 标头中有效范围的一部分。响应代码不是 416 的日志条目可能是攻击者甚至没有正确获取标头,并且可能是 400 响应代码。
我期望它出现在错误日志中的原因是它是导致错误的请求的一部分。在 404 错误中,URI 会显示在该字段中。
另外两个表明这可能是攻击者的迹象是 IP 地址位于中国(我不想一概而论,但我确实看到很多攻击流量来自中国)和看起来奇怪的引荐来源。我不建议在常规 Web 浏览器中加载该引荐来源。