机器人敲击 apache2

tag-icon tag-icon apache-2.2 security
机器人敲击 apache2

我的 apache2 日志被如下行轰炸:

108.5.114.118 - - [03/Aug/2012:15:23:28 +0200] "GET http://xchecker.net/tmp_proxy2012/http/engine.php HTTP/1.0" 404 1690 "http://xchecker.net/tmp_proxy2012/http/engine.php" "Mozilla/4.0 (兼容; MSIE 6.0; Windows 98; Win 9x 4.90)"

我对此感到困惑——为什么一些奇怪域名的请求xchecker.net最终会出现在我的服务器上?!

每隔几十秒就会收到一次请求,一定是机器人发出的。有人知道它是什么吗?

顺便说一下,该 URL 是有效的 - 显然它包含一些测试页面...

答案1

有人正在通过以下请求检查您的服务器是否是开放代理:
GET http://xchecker.net/tmp_proxy2012/http/engine.php HTTP/1.0

由于它以 响应,因此您似乎没有运行开放代理404
有关此内容的更多信息,请参阅:http://wiki.apache.org/httpd/ProxyAbuse
特别是“但是我如何才能真正确定我不允许滥用其他网站”这一部分。

我们不知道为什么它继续尝试,即使你没有运行代理,这应该是很清楚的。
也许那个家伙的脚本坏了。

答案2

我也一直受到这个机器人的攻击

我刚刚在我的 .htaccess 中添加了这个

RewriteEngine on
# Options +FollowSymlinks
RewriteCond %{HTTP_REFERER} xchecker\.net [NC]
RewriteRule .* - [F]

然后在我的错误日志中

[错误] [客户端 91.237.249.35] 服务器配置拒绝客户端:/var/www/html/proxy2012/http/engine7.php,引荐来源:http://xchecker.net/proxy2012/http/engine7.php

到目前为止,一切都很好。

另外,如果攻击来得非常快,你可能要考虑使用 mod_evasive

我已向 unlinked.tn-media.de 发送了一封电子邮件,但他们尚未回复。

答案3

xchecker.net和 有相同的 IP unlinked.t-n-media.de。所以,它们都指向同一个服务器。你知道你在运行代理吗?

如果没有,我建议您关闭它并重建您的服务器。

检查源,对于上面的请求,它是108.5.114.118。如果他们继续骚扰你,用 阻止他们iptables。如果有很多不同的 IP,你就会受到攻击。你除了将页面下线外,别无他法。

对于我来说该页面存在:

在此处输入图片描述

反向 DNS 也不正确:

[bart@dev ~]$ dig xchecker.net

; <<>> DiG 9.7.3-P3-RedHat-9.7.3-8.P3.el6_2.3 <<>> xchecker.net
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 15494
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;xchecker.net.          IN  A

;; ANSWER SECTION:
xchecker.net.       108 IN  A   193.28.228.90

;; Query time: 11 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Fri Aug  3 18:14:36 2012
;; MSG SIZE  rcvd: 46

[bart@dev ~]$ dig -x 193.28.228.90

; <<>> DiG 9.7.3-P3-RedHat-9.7.3-8.P3.el6_2.3 <<>> -x 193.28.228.90
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 515
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;90.228.28.193.in-addr.arpa.    IN  PTR

;; ANSWER SECTION:
90.228.28.193.in-addr.arpa. 2553 IN PTR unlinked.t-n-media.de.

;; Query time: 59 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Fri Aug  3 18:14:44 2012
;; MSG SIZE  rcvd: 79

如果您的服务器不是193.28.228.90,则有人在主机文件中拥有您的域名和“193.28.228.90”,因此它会解析到您。如果您看到很多不同的 IP,则可能是将更改推送到很多受感染的计算机。

我猜测你的服务器的 IP 过去曾被用于一些不良用途。

如果您不想停止 404,您可以将其放在 vhost 配置的顶部:

<VirtualHost _default_:*>
  RedirectMatch permanent ^/?(.*) http://myrealwebsite.com/
</VirtualHost>

这会将每个未知的虚拟主机重定向到您的主站点。

答案4

我也在我的日志中看到许多这样的请求,在谷歌中搜索服务器的IP地址和代理,我得到了这个列表: http://vietyahoo.vn/http-proxy/4341-list-http-proxies-thang-12-a-2.html

它似乎是一个列出了我们所有可用作代理的服务器的工具。

我找到了我的服务器的 3 个 IP 地址,不再疑惑为什么我会收到这么多请求,即使它们只收到错误。

我为 IP 地址添加了一个空白的网站,因为我的客户只使用名称,我希望这能帮助我尽快退出列表。

相关内容