这是个有趣的例子。我每天在某个时间都会收到 bingbot 请求,这些请求会杀死服务器。请求如下:
127.0.0.1 - - [14/Sep/2013:08:18:49 -0500] "GET / HTTP/1.1" 200 82810 "-" "Mozilla/5.0 (兼容; bingbot/2.0; +http://www.bing.com/bingbot.htm)”
我很确定你无法欺骗 127.0.0.1,对吗?
我检查了服务器一千次,看是否有恶意代码,但一无所获。在谷歌上搜索,没有找到太多。我发现很多人使用 bingbot 欺骗并发送大量请求,这会杀死服务器,但不使用 127.0.0.1 ip 地址。
有人曾经见过这个或者有任何想法吗?
答案1
我想知道您是否在 Web 服务器上运行某种代理服务器,或者您是否有某种奇怪的本地 iptables 规则对该地址进行 SNAT。
或者,如果您碰巧在服务器上使用支持 javascript 的浏览器(以交互方式?),则可能是您在其中运行了恶意脚本,而该脚本恰好正在攻击您的服务器。
您可能还会遇到其他类型的蠕虫;问题是,它们经常使用技巧来感染服务器,而无需在运行时进入磁盘(有多种方法可以实现持久性,有时持久性是通过感染整个网络来实现的)。您在文件系统中找不到病毒并不意味着它不存在;同样,它可能(如恶意 JS 示例)隐藏在原本合法的进程中。