我的 apache2 日志被如下行轰炸:
108.5.114.118 - - [03/Aug/2012:15:23:28 +0200] "GET http://xchecker.net/tmp_proxy2012/http/engine.php HTTP/1.0" 404 1690 "http://xchecker.net/tmp_proxy2012/http/engine.php" "Mozilla/4.0 (兼容; MSIE 6.0; Windows 98; Win 9x 4.90)"
我对此感到困惑——为什么一些奇怪域名的请求xchecker.net
最终会出现在我的服务器上?!
每隔几十秒就会收到一次请求,一定是机器人发出的。有人知道它是什么吗?
顺便说一下,该 URL 是有效的 - 显然它包含一些测试页面...
答案1
有人正在通过以下请求检查您的服务器是否是开放代理:
GET http://xchecker.net/tmp_proxy2012/http/engine.php HTTP/1.0
由于它以 响应,因此您似乎没有运行开放代理404
。
有关此内容的更多信息,请参阅:http://wiki.apache.org/httpd/ProxyAbuse
特别是“但是我如何才能真正确定我不允许滥用其他网站”这一部分。
我们不知道为什么它继续尝试,即使你没有运行代理,这应该是很清楚的。
也许那个家伙的脚本坏了。
答案2
我也一直受到这个机器人的攻击
我刚刚在我的 .htaccess 中添加了这个
RewriteEngine on
# Options +FollowSymlinks
RewriteCond %{HTTP_REFERER} xchecker\.net [NC]
RewriteRule .* - [F]
然后在我的错误日志中
[错误] [客户端 91.237.249.35] 服务器配置拒绝客户端:/var/www/html/proxy2012/http/engine7.php,引荐来源:http://xchecker.net/proxy2012/http/engine7.php
到目前为止,一切都很好。
另外,如果攻击来得非常快,你可能要考虑使用 mod_evasive
我已向 unlinked.tn-media.de 发送了一封电子邮件,但他们尚未回复。
答案3
xchecker.net
和 有相同的 IP unlinked.t-n-media.de
。所以,它们都指向同一个服务器。你知道你在运行代理吗?
如果没有,我建议您关闭它并重建您的服务器。
检查源,对于上面的请求,它是108.5.114.118
。如果他们继续骚扰你,用 阻止他们iptables
。如果有很多不同的 IP,你就会受到攻击。你除了将页面下线外,别无他法。
对于我来说该页面存在:
反向 DNS 也不正确:
[bart@dev ~]$ dig xchecker.net
; <<>> DiG 9.7.3-P3-RedHat-9.7.3-8.P3.el6_2.3 <<>> xchecker.net
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 15494
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;xchecker.net. IN A
;; ANSWER SECTION:
xchecker.net. 108 IN A 193.28.228.90
;; Query time: 11 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Fri Aug 3 18:14:36 2012
;; MSG SIZE rcvd: 46
[bart@dev ~]$ dig -x 193.28.228.90
; <<>> DiG 9.7.3-P3-RedHat-9.7.3-8.P3.el6_2.3 <<>> -x 193.28.228.90
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 515
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;90.228.28.193.in-addr.arpa. IN PTR
;; ANSWER SECTION:
90.228.28.193.in-addr.arpa. 2553 IN PTR unlinked.t-n-media.de.
;; Query time: 59 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Fri Aug 3 18:14:44 2012
;; MSG SIZE rcvd: 79
如果您的服务器不是193.28.228.90
,则有人在主机文件中拥有您的域名和“193.28.228.90”,因此它会解析到您。如果您看到很多不同的 IP,则可能是将更改推送到很多受感染的计算机。
我猜测你的服务器的 IP 过去曾被用于一些不良用途。
如果您不想停止 404,您可以将其放在 vhost 配置的顶部:
<VirtualHost _default_:*>
RedirectMatch permanent ^/?(.*) http://myrealwebsite.com/
</VirtualHost>
这会将每个未知的虚拟主机重定向到您的主站点。
答案4
我也在我的日志中看到许多这样的请求,在谷歌中搜索服务器的IP地址和代理,我得到了这个列表: http://vietyahoo.vn/http-proxy/4341-list-http-proxies-thang-12-a-2.html
它似乎是一个列出了我们所有可用作代理的服务器的工具。
我找到了我的服务器的 3 个 IP 地址,不再疑惑为什么我会收到这么多请求,即使它们只收到错误。
我为 IP 地址添加了一个空白的网站,因为我的客户只使用名称,我希望这能帮助我尽快退出列表。