大约一个月前,我的网站开始收到奇怪的请求。我的网站托管在 VPS 上,其中一些请求也被 Google Analytics 记录下来。
我真的想弄清楚它们是什么,而且我真的很担心受到攻击或其他什么的,因为我只是托管了我的个人博客。
样本:
my-blog.com:80 173.245.62.105 - - [28/Jun/2014:22:58:35 +0000] "GET /d4/h/A5/static/js/app/component/trendingtopics.js HTTP/1.1" 404 4236 "indulgy.net" "Mozilla/5.0 (Linux; U; Android 4.1.2; zh-cn; HUAWEI C8815 Build/HuaweiC8815) AppleWebKit/534.30 (KHTML, like Gecko) Version/4.0 Mobile Safari/534.30" my-blog.com:80 173.245.62.151 - - [28/Jun/2014:22:58:35 +0000] "GET /d4/h/A5/static/js/app/component/trendingpages.js HTTP/1.1" 404 4237 "indulgy.net" "Mozilla/5.0 (Linux; U; Android 4.1.2; zh-cn; HUAWEI C8815 Build/HuaweiC8815) AppleWebKit/534.30 (KHTML, like Gecko) Version/4.0 Mobile Safari/534.30" my-blog.com:80 173.245.62.151 - - [28/Jun/2014:22:58:35 +0000] "GET /d4/h/A5/static/js/app/controller/hashtagsctrl.js HTTP/1.1" 404 4237 "indulgy.net" "Mozilla/5.0 (Linux; U; Android 4.1.2; zh-cn; HUAWEI C8815 Build/HuaweiC8815) AppleWebKit/534.30 (KHTML, like Gecko) Version/4.0 Mobile Safari/534.30" my-blog.com:80 173.245.62.105 - - [28/Jun/2014:22:58:35 +0000] "GET /d4/h/A5/static/js/app/component/trendingtopics.js HTTP/1.1" 404 4236 "indulgy.net" "Mozilla/5.0 (Linux; U; Android 4.1.2; zh-cn; HUAWEI C8815 Build/HuaweiC8815) AppleWebKit/534.30 (KHTML, like Gecko) Version/4.0 Mobile Safari/534.30" my-blog.com:80 173.245.62.151 - - [28/Jun/2014:22:58:35 +0000] "GET /d4/h/A5/static/js/app/component/trendingpages.js HTTP/1.1" 404 4237 "indulgy.net" "Mozilla/5.0 (Linux; U; Android 4.1.2; zh-cn; HUAWEI C8815 Build/HuaweiC8815) AppleWebKit/534.30 (KHTML, like Gecko) Version/4.0 Mobile Safari/534.30" my-blog.com:80 173.245.62.151 - - [28/Jun/2014:22:58:35 +0000] "GET /d4/h/A5/static/js/app/controller/hashtagsctrl.js HTTP/1.1" 404 4237 "indulgy.net" "Mozilla/5.0 (Linux; U; Android 4.1.2; zh-cn; HUAWEI C8815 Build/HuaweiC8815) AppleWebKit/534.30 (KHTML, like Gecko) Version/4.0 Mobile Safari/534.30" my-blog.com:80 173.245.54.211 - - [28/Jun/2014:22:59:08 +0000] "GET /QB/42/65/91f0cb1971ef5b1da1cdde3271456dc0.jpg HTTP/1.1" 404 4236 "-" "msnbot-media/1.1 (+http://search.msn.com/msnbot.htm)" my-blog.com:80 173.245.54.204 - - [28/Jun/2014:22:59:33 +0000] "GET /a6/RA/uC/37225134389464162UJrrTmrkc.jpg HTTP/1.1" 404 4235 "http://www.bing.com/images/search?q=antique+pewter+benjamin+moore&FORM=HDRSC2" "Mozilla/5.0 (Linux; U; en-us; KFTHWI Build/JDQ39) AppleWebKit/535.19 (KHTML, like Gecko) Silk/3.19 Safari/535.19 Silk-Accelerated=true" my-blog.com:80 173.245.54.204 - - [28/Jun/2014:22:59:43 +0000] "GET /a6/RA/uC/37225134389464162UJrrTmrkc.jpg HTTP/1.1" 404 4236 "http://www.bing.com/images/search?q=antique+pewter+benjamin+moore&FORM=HDRSC2" "Mozilla/5.0 (Linux; U; en-us; KFTHWI Build/JDQ39) AppleWebKit/535.19 (KHTML, like Gecko) Silk/3.19 Safari/535.19 Silk-Accelerated=true" my-blog.com:80 108.162.218.130 - - [28/Jun/2014:23:00:25 +0000] "GET /G6/To/2x/2327798744591902060paNYnMPc.jpg HTTP/1.1" 404 4236 "http://universe-marvel.forumactif.org/t547-lien-de-jean" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:30.0) Gecko/20100101 Firefox/30.0"
我每天会有大约 16k 个这样的请求,有些是奇怪的 404,其他是常规访问 css/jss 时会出现 200 个错误。很多请求来自“indulgy.net”,我真的不知道它是什么。
服务器在 Debian 上使用 ISPConfig,并且一切都已更新,由于我使用 Google Apps,所以某些电子邮件端口被提供商阻止。
有人能帮助我理解这些请求并保护自己吗?
答案1
总是有很多“背景噪音”由机器人扫描随机 IP 范围并尝试查找已知漏洞和漏洞而生成。这是现代数字生活的现实,您可以在日志文件中看到证据。
保持系统修补和更新,并学会忍受这种情况。
如果大量流量来自看起来更有效的 URL,而这些 URL 根本不属于您的网站,您很可能会遇到以下两种情况:
回收域名。您的域名是过去注册并处于活动状态的,许多链接仍指向前网站所有者的内容。接受它。
回收的 IP 地址。分配给您的 IP 地址过去曾被前一个租户使用过,当他们终止托管计划时,他们没有相应地更新/终止其 DNS。也就是说,他们的流量仍然会流向您的服务器。
与上面类似,但是您的一个 IP 邻居在其 DNS 配置中出现了拼写错误。
后两者大致相同:您不拥有或运营 www.example.org,但它仍已注册并指向您的 IP 地址,并且您会看到他们的流量进入您的服务器。这与
搬到新地址非常相似,要么接收前所有者的邮件,要么接收 13 号亚当斯夫人的邮件,而寄往 30 号亚当斯夫人。
理想情况下,您可以识别并联系配置错误的域的所有者,他们会更新其 DNS。
或者,您可以为 www.example.com 创建一个单独的基于名称的虚拟主机,使您的实际域的日志文件更清洁,并通过使用微小的错误消息而不是精心制作的 HTML 页面来减少影响。