奇怪的 404 URL 请求

tag-icon tag-icon node.js url http-status-code-404 request
奇怪的 404 URL 请求

我正在使用 express 框架运行 nodejs 服务器。我正在使用Keymetrics.io跟踪我的应用程序的状态。

我一直在跟踪 500 和 404 错误并将它们发送给 Keymetrics,而 404 错误显示了一些我以前从未见过的奇怪的东西,我希望有人能弄清楚这到底是什么。

基本上我不断收到这些 URL 发布请求每一个2-3分钟:

  • /V9vc4AAAA/JU70M/cUPBuAAA/
  • /QLId/1Mv30AAAA/lPVraBAAA/
  • /V9vc4AAAA/JU70M/cUPBuAAA/
  • /85V/xCAA/LamkyCA/3lMmCAAAAAA/
  • /BXiuX/AuNt/B/bjX/
  • /3GUYKAAAAAA/8xjakDAA/LnBQqDA/
  • /85V/xCAA/LamkyCA/3lMmCAAAAAA/
  • /Cbeo8A/DsZuoAA/BF3Zj/
  • /3GUYKAAAAAA/8xjakDAA/LnBQqDA/
  • /QLId/1Mv30AAAA/lPVraBAAA/

显然我的服务器将他们指向一个 404 页面,但有人知道这是什么吗?它是一个机器人吗?我需要注意一些漏洞吗?

一些请求的标头示例

{ accept: '*/*',
'user-agent': 'Mozilla/5.0 (Windows; U; MSIE 7.0; Windows NT 6.0; en-US)',
host: '109.235.76.136:8080',
'content-length': '701',
connection: 'Keep-Alive',
'cache-control': 'no-cache',
cookie: 'vacwatch=s%3Am_Rj28ASGR2gLNOoZT385QxXJTaPuGAp.7g89Wz41URpTiJSxQ8R8UaQgMRPUl94NNjruqluZR40' }

{ accept: '*/*',
'user-agent': 'Mozilla/5.0 (Windows; U; MSIE 7.0; Windows NT 6.0; en-US)',
host: '109.235.76.136:8080',
'content-length': '677',
connection: 'Keep-Alive',
'cache-control': 'no-cache',
cookie: 'vacwatch=s%3AfdU50VdWoHd3jSmbbGKt4IXUTWvauxa4.OpRmN39XUis7sDkJrRtn83Uw%2FSo5VyJ1fZRcXT7HWH8' }

编辑:请求来自多个不同的 IP

答案1

哇。是的。我明白了为什么这些网址不断出现在我的 404 日志中。

今天我注意到我的异常日志中有一个错误,即一封电子邮件被拒绝并且未送达。因此,我检查了此错误的确切详细信息,以了解为什么无法送达该电子邮件:550 This message was classified as SPAM and may not be delivered

于是我在网上查了一下黑名单检查工具,想看看我被列入黑名单的地方和原因。结果只有一个,那就是我被 SPAMHAUS 列入了黑名单。

我去他们的网站检查了我的域名,结果确实如此。它确认我在他们的“Spamhaus 阻止名单”上

我点击我的条目来获取有关该区块的更多详细信息,我看到的内容如下:

The host at this IP address is most likely compromised and 
running a malicious HTTP daemon (nginx) on port 8080 (TCP)
which is being used by cybercriminals to control computers
infected with a Trojan called Feodo.

Feodo botnet controller located here:
http://109.235.76.136:8080/QrdO/fknypBAAAAA/PHmnSCAAAAA/

Feodo is a sophisticated banking Trojan, used to commit 
ebanking fraud. More information about this Trojan can be 
found here: http://blog.fireeye.com/research/2010/10/feodosoff-a-new-botnet-on-the-rise.html

To get this issue solved, you need to locate and identify 
the malicious nginx daemon on the compromised server 
(likely located in a hidden directoy in the /tmp/ directory)
and remove it completely. To avoid that the server gets hacked again, please ensure that you change all SSH credentials (passwords) and that all installed software is up to date (including OS).

More information how you can secure your SSH daemon 
can be found here: http://www.spamhaus.org/faq/section/Generic%20Questions#362

我很困惑,我没有运行 nginx,所以我检查了条目的日期,结果显示2013-11-14 18:39:31 GMT。所以看来这个 IP 的前所有者感染了这个僵尸网络。它基本上一直在发送这些奇怪的 url 帖子请求。

相关内容