刚刚获得了一个具有两个 IP 的新 VPS。我收到来自多个不同客户端 IP 的大量请求,这些请求针对其中一个 IP 上的单个路径,几乎每秒一个。路径是“/lzb/gz.php”。有人知道这是什么吗?我应该担心吗?我应该向我的 VPS 提供商申请一个新的 IP,还是只是希望请求量随着时间的推移逐渐减少?
仅供参考,我正在运行 nginx 作为 apache2 的反向代理。VPS 附带运行 apache2,根据 apache2 日志,购买后立即开始对“/lzb/gz.php”的请求。当我打开 nginx 时,请求开始出现在 nginx 日志中。我很确定请求仅限于两个 IP 中的一个,因为我为在两个 IP 上尝试过的 vhost 设置了唯一的访问和错误日志,并且只有当 vhost 侦听相关 IP 地址时,请求才会出现在这些日志中。apache2 和现在的 nginx 都返回 404,但我仍然担心相同路径的请求量和潜在的安全隐患。
答案1
/lzb/gz.php
看起来并没有什么恶意。它似乎是 xwall 防火墙包中的一个文件,所以也许该 IP 的前所有者正在运行该应用程序。
我看到有三个选择:
- 如果这种行为让您感到困扰,您当然可以向您的提供商请求一个新的 IP,但每秒一个请求的数量并不令人不安。
- 使用服务器防火墙来拦截流量。我认为这是最快、最有效的选择,除非错误的传入连接占用的带宽开始耗尽您的配额。
- 我认为更好的长期解决方案是跟踪源 IP 地址,看看是否有任何网络运营商可以就请求进行沟通。也许只是一些以前依赖于您的 IP 地址提供的服务的其他系统。在这种情况下,您很有可能追溯到发起者。
- 好吧,我撒谎了,还有第四种可能性,但这不是很好。你可以使用以下方法阻止传入的请求iptables 速率限制甚至可能让发送流量的系统瘫痪。当然,如果您使用的是其他操作系统,请研究其防火墙的速率限制功能。如果发送系统与您的 IP 地址的通信没有立即得到响应,或者您发送了其他响应,则可能会导致通信超时,并在发送系统的日志中引起足够的惊愕以通知人类。这是外部因素,而且远非最佳选择。
答案2
这些请求可能是由损坏的客户端发出的。您可能不必担心,可以使用@WesleyDavid 的提示来消除这种烦恼。
VPS 附带运行的 apache2,根据 apache2 日志,对“/lzb/gz.php”的请求在购买后立即开始。
这些请求可能是在购买后出现的,因为您的供应商为您分配了 IP,并配置了防火墙以允许访问这些 IP。
可能有人在您之前拥有这些 IP,并且这些请求/lzb/gz.php
可能针对的是在您之前存在的网站。我正到达这里,但请注意利是宝和广州都是两种压缩方法的常用缩写,因此前任所有者可能提供了压缩内容。通过 Google 搜索可以发现,这gz.php
不是一个不常见的文件名称,有时用于使用 PHP 动态压缩数据。
谷歌搜索站点:你的ip地址/lzw/gz.php可能会揭示谁是前任主人,并对这个问题提供一些解释。