我管理的一个网站上个月流量异常。网站中一个不存在的 URL 被点击了约 6,500 次(根据日志,服务器发送了正确的 404 响应)。
该 URL 为 /fkzk-start.html,点击量来自世界各地的各种 IP 地址。每个 IP 还访问了网站上的其他页面,但 /fkzk-start.html 页面的流量使用了不同的用户代理;
“MobileSafari/602.1 CFNetwork/808.3 Darwin/16.3.0”
通常情况下,针对暴露的 CMS 管理目录会发生十几次自动攻击,这些攻击也会全部收到 404 响应,但没有其他异常流量。
这是对我网站的一次黑客攻击吗?
答案1
为了知道这是否是“真正的”攻击,您需要知道执行了什么类型的请求。如果这些 IP 在一个月内只执行了 6500 次 GET 请求,在我看来,这不能算作“攻击”。您需要分析日志文件以确定要从此 URL 访问什么资源。乍一看,根据不同的 IP,它可能看起来像是 DDOS,但正如我之前所说,在我看来,一个月内跨度的请求数量不足以限制 Web 服务器。
答案2
如果不知道占所有命中数的比例,那么 404 命中数 (~6,500) 并不能说明什么。但是,如果这些命中数来自普通用户的 IP 地址,并且该比例较低,则不太可能发生袭击。
用户代理中的MobileSafari/602.1 CFNetwork/808.3 Darwin/16.3.通常指的是iPhone 用户正在使用添加到主屏幕选项在分享菜单。虽然客户端的正常用户代理以 开头,Mozilla/5.0 (iPhone; CPU iPhone OS然后是实际版本信息和大量内容纯粹的历史原因,
这添加到主屏幕在尝试检索标准时发送不同的用户代理苹果触摸图标并/favicon.ico在HTML 4.01和XHTML 1.0中标准化。
GET /apple-touch-icon-120x120-precomposed.png HTTP/1.1
GET /apple-touch-icon-120x120.png HTTP/1.1
GET /apple-touch-icon-precomposed.png HTTP/1.1
GET /apple-touch-icon.png HTTP/1.1
GET /favicon.ico HTTP/1.1
除了这些标准位置之外,可能还定义了其他内容
<link rel="apple-touch-icon" href="some.png" />
<link rel="apple-touch-icon-precomposed" href="some.png" />
导致它在添加快捷方式时被检索。
CF网络是一个Apple框架适用于 MacOS 和 iOS。因此,相同的用户代理可能是由 iOS 应用引起的。如果您的网站提供任何 iOS 应用,请检查该应用是否没有任何试图访问的历史代码/fkzk-start.html。
这个特定/fkzk-start.html文件似乎不是存在漏洞的 CMS 或类似系统的已知标志。有时,在实际攻击之前,会抓取此类已知路径来识别存在漏洞的站点。