我的(不支持 PHP 的)Web 服务器上收到了一些奇怪的 GET 请求,这些请求针对的是一些看起来很奇怪的 PHP 文件。我只是想知道这些是某些浏览器工具的无害请求,还是爬虫试图查找 PHP Web 服务器中的缺陷/错误配置。这让我有点担心。如果这是寻找漏洞的尝试,你会建议我采取什么措施。
日志的一部分在屏幕截图中。(注意:发送请求的 IP 地址是我的服务器网络中反向代理的本地 IP)
[3/2/2022, 7:04:49 PM] ::ffff:172.19.0.4:52954 [GET] /x.php
[3/2/2022, 7:04:49 PM] ::ffff:172.19.0.4:52962 [GET] /wso.php
[3/2/2022, 7:04:49 PM] ::ffff:172.19.0.4:52964 [GET] /srx.php
[3/2/2022, 7:04:49 PM] ::ffff:172.19.0.4:52968 [GET] /1337.php
[3/2/2022, 7:04:49 PM] ::ffff:172.19.0.4:52970 [GET] /xx.php
[3/2/2022, 7:04:49 PM] ::ffff:172.19.0.4:52972 [GET] /XxX.php
[3/2/2022, 7:04:49 PM] ::ffff:172.19.0.4:52978 [GET] /leaf.php
[3/2/2022, 7:04:49 PM] ::ffff:172.19.0.4:52986 [GET] /leafmailer2.8.php
[3/2/2022, 7:04:49 PM] ::ffff:172.19.0.4:52988 [GET] /bb.php
[3/2/2022, 7:04:49 PM] ::ffff:172.19.0.4:52992 [GET] /m.php
[3/2/2022, 7:04:49 PM] ::ffff:172.19.0.4:53006 [GET] /Lux.php
[3/2/2022, 7:04:50 PM] ::ffff:172.19.0.4:53010 [GET] /haxor.php
[3/2/2022, 7:04:50 PM] ::ffff:172.19.0.4:53014 [GET] /shell.php
[3/2/2022, 7:04:50 PM] ::ffff:172.19.0.4:53016 [GET] /qindex.php
[3/2/2022, 7:04:50 PM] ::ffff:172.19.0.4:53018 [GET] /alex.php
[3/2/2022, 7:04:50 PM] ::ffff:172.19.0.4:53024 [GET] /1.php
[3/2/2022, 7:04:50 PM] ::ffff:172.19.0.4:53026 [GET] /wp2.php
[3/2/2022, 7:04:50 PM] ::ffff:172.19.0.4:53030 [GET] /wp.php
[3/2/2022, 7:04:50 PM] ::ffff:172.19.0.4:53032 [GET] /stindex.php
[3/2/2022, 7:04:50 PM] ::ffff:172.19.0.4:53036 [GET] /lf.php
答案1
是的,这是可疑活动,但正如杰拉尔德所评论的那样,对于网络服务器来说,这是正常且预期的,远程服务器正在执行多个 HTTP GET 请求以查找众所周知的 PHP 文件,例如 word press 等。如果这样的文件存在,则服务器将向攻击者返回 404 或 200,如果这样的文件确实存在,即该脚本正在寻找的文件,那么可以根据这些文件的已知漏洞采取进一步的措施——有几种方法可以处理机器人、网络爬虫和网络钓鱼,一些方法以客户端/服务器为中心,一些方法与网络有关