我在 Apache 服务器的访问日志中发现了一些奇怪的事情,我无法解释。我或我的同事从办公室的 Windows 网络发出的网页请求几秒钟后被另一个 IP(我们不知道)重复。
重复我们请求的用户代理是
Mozilla/4.0(兼容;MSIE 8.0;Windows NT 5.1;Trident/4.0;.NET CLR 2.0.50727;.NET CLR 3.0.04506.648;.NET CLR 3.5.21022;.NET CLR 3.0.4506.2152;.NET CLR 3.5.30729;InfoPath.2)
有人有想法吗?
更新: 我现在获得了更多信息。
- 复制的引用站点设置为我之前请求的 URL,并且它不是完全相同的请求,因为协议版本从“HTTP/1.1”更改为“HTTP/1.0”。
- 该IP不只是一个,它只是一个子网之一(80.40.134.*)。
- 这只是对资源的第一次重复请求,因此看起来“间谍”正在建立某种访问过的地方的缓存。
- 转发器也很挑剔。我随机尝试了具有不同 HTTP 状态代码和不同文件模式的 URL。301 和 200 重做,404 没有重做。图像扩展名似乎被忽略了。
在进行测试时,我发现这种行为似乎很常见,因为我发现其他客户端在第一个请求之后立即访问:
66.249.73.184 - - [25/Oct/2012:10:51:33 +0100] "GET /foobar/ HTTP/1.1" 200 10952 "-" "Mediapartners-Google"
50.17.125.180 - - [25/Oct/2012:10:51:33 +0100] "GET /foobar/ HTTP/1.1" 200 41312 "-" "Mozilla/5.0 (兼容; 邻近; +http://www.proximic.com/info/spider.php)”
我不知道这种做法,所以我不再认为这是一种威胁。我仍然想知道这是谁,所以任何进一步的帮助都将不胜感激。如果我查询其他我可以访问访问日志的服务器,我会稍后尝试是否也发生这种情况,然后在这里更新。
答案1
经过一番挖掘,我能够确定来自 80.40.134.* 的访问源自TalkTalk 病毒警报。该 ISP 正在监控其用户的网络流量并扫描其用户访问的页面以查找病毒/恶意软件。
Mediapartners-Google 就是 Google AdSense。您在自己的网页上放置了 Google 广告,因此 Google 会读取网页文本,以便针对内容提供广告。
你给出的最后的例子是自我记录的;尝试访问给定的 URL。