最近,在我的apache的错误日志中,我发现了很多这样的行:
[Mon Sep 12 12:34:56 2011] [error] [client ***.***.***.***] 0U, referer: http://www.***.com/ “www。***。com”是我的域名。 “0U”是什么意思? 对应于一些错误请求的响应代码是416 。 我的Apache的版本是2.2.14。
PS:我使用apache+mod_jk+tomcat6来构build我的网站.apache是前端服务器,所以没有cgi或php模块。
2011-09-12 12:34:56 218.85.19.63 "GET /site/public/stylesheets/i.css HTTP/1.1" 550 416 687 590 "9e.cn/"; "Mozilla/5.0 (Wi ndows; U; Windows NT 5.1; ) AppleWebKit/534.12 (KHTML, like Gecko) Maxthon/3.0 Safari/534.12
是相应的访问日志。 请注意, 416是http响应代码。 但并非所有错误请求对应的响应码都是416 。 访问日志的格式为"%{%Y-%m-%d %H:%M:%S}t %h \"%r\" %q %D %>s %I %O \"%{Referer}i\" \"%{User-Agent}i\" 。
我的猜测是,有人正在尝试这样做,但还没有得到Range:header的值。
0U,可能应该只是0,它将成为HTTP请求的Range:头中有效范围的一部分。 响应代码不是416的日志条目可能是攻击者甚至没有得到正确的头部,可能是400响应代码。
我期望它出现在错误日志中的原因是它是导致错误的请求的一部分。 在404错误中,URI是在该字段中显示的内容。
另一个暗示,这可能是一个攻击者的提示是中国的IP地址(我讨厌泛化,但是我看到很多来自中国的攻击stream量)和一个奇怪的外观引用。 我不build议在您的常规Web浏览器中加载该引用。