我最近注意到我的 nginx 访问日志中有一些奇怪的流量。我不确定这些流量是否表示攻击、错误或其他原因。我已经开始将这些流量发送到 HTTP 444,因此这些日志将表明这一点。
1)我注意到流量增加了,在检查日志时我看到一个又一个这样的请求:
121.32.149.215 - - [28/Nov/2015:06:27:00 +0000] "GET / HTTP/1.1" 444 0
"http://vp.f8bet.com/wf360.html"
"Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML,如 Gecko) Chrome/31.0.1650.63 Safari/537.36" "-"
它们来自不同的 IP 和不同的用户代理。数量很多。奇怪的是,引用页面将我的 TLD 作为脚本标记的源。我的网站没有从该 URL 返回任何 JS,因此它只是访问网站的索引。如果我不那么友好,我可能会开始在那里返回一些恶意 JS。我认为这可能只是引用垃圾邮件,但我不确定。
2)我还收到很多这样的请求:
190.137.153.244 - - [28/Nov/2015:06:07:16 +0000] "GET / HTTP/1.1" 302 97 "-" "WhatsApp" "-"
它们也来自不同的 IP,并使用 WhatsApp 作为用户代理。有趣的是,它们是不同的子域名(似乎是随机的西班牙语单词),通过通配符进行解析。我删除了通配符以杀死其中一些,结果也阻止了所有 WhatsApp 用户代理流量。
我在西班牙子域名下也获取了一些,其中“MJ12bot”也是引用者。“MJ12bot”看起来是半合法的,但如果它是一个真正的爬虫,那么子域名就永远不会存在。
和其他人一样,我整天都会受到随机攻击,但第一次攻击非常具体,而第二次攻击由于子域名而很有趣。过去一周左右,我不断受到两次攻击。
有人对这些请求的目的有什么看法吗?我是否应该做些什么,而不仅仅是将它们发送到 444 然后继续前行?
答案1
这里有两个问题。我来回答第二个问题:这不是攻击,而是因为人们的打字方式以及看起来像域名的东西被自动视为链接。
我注意到很多请求http://kak.be/来自“WhatsApp”用户代理。我的几乎总是来自马来西亚。我仔细查看了日志,和你一样,它们是对各种(不存在的)子域的请求。我猜 WhatsApp 用户使用点/句号而不是空格输入,这反过来又导致了看似有效的域名。然后 WhatsApp 似乎预取了该链接,也许是为了检查其中是否存在危险内容?
例子:
原始请求:ah.kakak.ini.ndak.percaya.gimana.ak.mau.tidur.di.mana.bingung.ak.kak.be 谷歌翻译:这个妹妹啊不信我要怎么睡到哪里kak被搞糊涂ak 原始请求:kak.maafkan.adik.pliz.kak.be 谷歌翻译:kak kak 可以原谅姐姐了
根据英语维基词典,“kak”/“kakak” 表示姐姐或哥哥。呵呵。
所以,没什么可担心的。也就是说,如果你问我。