我查看了我的 nginx 访问日志以检查谁访问了我的服务器,然后我注意到了这一行:
<IP> - - [25/Feb/2016:02:49:12 +0100] "GET / HTTP/1.1" 302 160 "-" "Mozilla/5.0 (compatible; Nmap Scripting Engine; http://nmap.org/book/nse.html)"
我使用 GeoIP,并且只允许来自我国的请求,如果请求来自其他国家,nginx 应该返回 HTTP 444。但这次 nginx 向调用者返回了 302。为什么?
这种 http 请求不好吗?有人试图入侵我的服务器吗?
答案1
nmap 部分与地理 IP 阻止无关。您所在国家/地区的某个人正在运行脚本引擎,该引擎从您的网站发出请求。您的网站配置为在请求主页时发送 302。
根据我提供的信息,这是我能得出的最好的结论。
答案2
nmap很可能扫描的是 IP 地址,而不是主机名。您可能对 302 响应感到疑惑,因为这不是您网站主页的正常响应。
我怀疑你会发现如果你向IP地址您的服务器,它从“默认域”的配置返回 302,这通常不使用,因为正常请求在请求中包含主机名。
有人试图入侵您的服务器的可能性不大,但这当然是有可能的。互联网上存在大量后台垃圾流量,通常来自寻找常用软件中已知漏洞的自动化系统。
将其作为提醒,以保持您的软件堆栈保持最新。
另外,你可以获取传入的 IP 并使用地理 IP 查询服务了解 IP 地址是否源自您的国家/地区。