我最近注意到我的主要生产服务器上的巨大负载,经过一些日志parsing,我偶然发现大量的用户代理来自大约20个不同的IP:
173.244.182.194 – [07 / May / 2013:16:26:17 +0200]“GET / HTTP / 1.1”302 490“ – ”“Java / 1.6.0_26”173.244.182.194 – – [07 / May / 2013 :16:26:18 +0200]“GET / HTTP / 1.1”200 17376“ – ”“Java / 1.6.0_26”
猜测这是某种屏幕抓取工具,我设法阻止这些用户代理fail2ban。
现在我很困惑,一旦禁令时间到期,来自IP的请求会一遍又一遍地重新开始。 目前,我目前阻止了大约10个IP。
它是什么? IP源自服务器和个人用户,这是一个正常的事件(像那些不断尝试使用SSHlogin的被感染的服务器)应该担心我的服务器安全吗?
当Java发出HTTP请求时,User-Agent是默认的。 这表明它是由程序员写的,懒得设置一个自定义的用户代理。
即使它是一个合法的机器人,它可能写得不好。 我会很乐意阻止它。
我已经在自己的networking日志中看到了相同的IP地址(和其他几个附近的地址),检索非常垃圾的外观URL,例如/blog/there-are-some-diablo-3-gold-players.html以及带有垃圾邮件的通用URL看起来Referer:标题,使它看起来像他们只是做了色情search。
我也看到它发送像POST /action/sign_in这样的合法爬行机器人应该做的任何请求。 它还通过正常(如果稍微老的)浏览器的简短列表来更改其用户代理。
是的,你应该关心你的服务器安全。 我会build议继续阻止这些IP地址。
如果您特别担心sshlogin,您可以使用类似DenyHosts的工具。 这是一个HowTo 。