服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 奇怪的404url请求
Intereting Posts
重复的Linux文件用户,组和权限属性 loggingPHP脚本的执行时间和内存使用情况的正确方法是什么? 创build没有默认节点池的Google容器引擎群集? 只有当用户注销时,才能通过SCCM部署更新 获取“LC_ALL:不能更改区域设置”错误。 怎么了? 我应该多久才能在CentOS邮件列表上采取更新公告? 部署在32位和64位安装中使用解算器的Excel电子表格 使用IIS 8在FTP服务器(550)上写入访问被拒绝 CRLvalidation错误的可能原因 使用OpenLDAP 2.4 LDIFconfiguration后端 三个重复的确认 无法修复Mysql表 查找或恢复维基页面。 (电脑将无法启动,需要维基页面) rsync:最大限度地保持系统响应 用CRTL-F滚动到EOF时,如何保持10行可见?

奇怪的404url请求

我用express框架运行一个nodejs服务器。 我正在使用Keymetrics.io来跟踪我的应用程序的状态。

我一直在跟踪500和404错误并将它们发送给Keymetrics,404错误显示了一些我以前从未见过的奇怪的东西,我希望有人能清楚这是什么。

基本上我每隔 2-3分钟就会收到这些url发布请求

  • / V9vc4AAAA / JU70M / cUPBuAAA /
  • / QLId / 1Mv30AAAA / lPVraBAAA /
  • / V9vc4AAAA / JU70M / cUPBuAAA /
  • / 85V / xCAA / LamkyCA / 3lMmCAAAAAA /
  • / BXiuX /阿姨/ B / BJX /
  • / 3GUYKAAAAAA / 8xjakDAA / LnBQqDA /
  • / 85V / xCAA / LamkyCA / 3lMmCAAAAAA /
  • / Cbeo8A / DsZuoAA / BF3Zj /
  • / 3GUYKAAAAAA / 8xjakDAA / LnBQqDA /
  • / QLId / 1Mv30AAAA / lPVraBAAA /

显然我的服务器指向他们到404页面,但有人知道这是什么? 这是一个机器人吗? 我需要知道一些漏洞吗?

请求的一些头部示例 

{ accept: '*/*', 'user-agent': 'Mozilla/5.0 (Windows; U; MSIE 7.0; Windows NT 6.0; en-US)', host: '109.235.76.136:8080', 'content-length': '701', connection: 'Keep-Alive', 'cache-control': 'no-cache', cookie: 'vacwatch=s%3Am_Rj28ASGR2gLNOoZT385QxXJTaPuGAp.7g89Wz41URpTiJSxQ8R8UaQgMRPUl94NNjruqluZR40' } { accept: '*/*', 'user-agent': 'Mozilla/5.0 (Windows; U; MSIE 7.0; Windows NT 6.0; en-US)', host: '109.235.76.136:8080', 'content-length': '677', connection: 'Keep-Alive', 'cache-control': 'no-cache', cookie: 'vacwatch=s%3AfdU50VdWoHd3jSmbbGKt4IXUTWvauxa4.OpRmN39XUis7sDkJrRtn83Uw%2FSo5VyJ1fZRcXT7HWH8' }

编辑:请求来自多个不同的IP

哇。 所以是的 我想出了为什么这些url一直popup在我的404日志。

今天我在exception日志中注意到一个错误,就是一封邮件被拒绝了,而且没有发送。 所以我检查这个错误的具体细节,为什么电子邮件无法交付: 550 This message was classified as SPAM and may not be delivered

所以我查了一下网上的黑名单检查工具来检查我被列入黑名单的原因,以及为什么。 我只有一个结果说我被SPAMHAUS列入黑名单。

我去那里的网站,并给我的域名进行检查,确实。 这证实我在他们的“Spamhaus Block List”

我点击我的input有关块的更多细节,这就是我所看到的: 

 The host at this IP address is most likely compromised and running a malicious HTTP daemon (nginx) on port 8080 (TCP) which is being used by cybercriminals to control computers infected with a Trojan called Feodo. Feodo botnet controller located here: http://109.235.76.136:8080/QrdO/fknypBAAAAA/PHmnSCAAAAA/ Feodo is a sophisticated banking Trojan, used to commit ebanking fraud. More information about this Trojan can be found here: http://blog.fireeye.com/research/2010/10/feodosoff-a-new-botnet-on-the-rise.html To get this issue solved, you need to locate and identify the malicious nginx daemon on the compromised server (likely located in a hidden directoy in the /tmp/ directory) and remove it completely. To avoid that the server gets hacked again, please ensure that you change all SSH credentials (passwords) and that all installed software is up to date (including OS). More information how you can secure your SSH daemon can be found here: http://www.spamhaus.org/faq/section/Generic%20Questions#362

我很困惑,我没有nginx运行,所以我检查了入口的date,并说明了2013-11-14 18:39:31 GMT 。 所以这个IP的以前的所有者似乎感染了这个僵尸networking。 基本上保持垃圾邮件这些怪异的url发布请求。