我在/ var / log / apache2的access.log中注意到了数百个奇怪的条目,它们都是这样的:
173.193.233.143 – – [26 / Jun / 2011:13:50:24 +0400]“GET http://google.com/google.comhttp://google.com/google.comhttp://google.com/ google.comhttp://google.com/google.comhttp://google.com/google.comhttp://google.com/google.comhttp://google.com/google.comhttp://google.com/ google.comhttp://google.com/google.comhttp://google.com/google.comhttp://google.com/google.comhttp://google.com/google.comhttp://google.com/ google.comhttp://google.com/google.comhttp://google.com/www.bing.comhttp:?//www.bing.com/search●请从+%2findex.php showuser%3D = +%22Comments% 22 + 6&filt = all&first = 41&FORM = PORE HTTP / 1.0“200 42542” http://google.com/google.comhttp://google.com/google.comhttp://google.com/google.comhttp:// google.com/google.comhttp://google.com/google.comhttp://google.com/google.comhttp://google.com/google.comhttp://google.com/google.comhttp:// google.com/google.comhttp://google.com/google.comhttp://google.com/google.comhttp://google.com/google.comhttp://google.com/google.comhttp:// google.com/google.comhttp:/ /google.com/www.bing.comhttp://www.bing.com/search?q=from+%2findex.php?showuser%3d+%22Comments%22+6&filt=all&first=41&FORM=PORE“”Mozilla / 4.0(兼容; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; XMPP Tiscali Communicator v.10.0.2; .NET CLR 2.0.50727)“
任何人都有这个奇怪的行为的解释?
这将被感染的机器扫描,看看你的机器是否容易受到用来感染这些机器的安全故障,所以他们可以传染给你。
如果你的补丁是最新的,那么你可能没有什么可担心的 – 这种事情总是可以看到的(我偶尔也会看到在PHP和IIS + ASP中扫描古代漏洞的尝试,甚至到machien不运行那些服务器/服务)。
如果该字段是响应代码而不是请求大小的其他字符,则表示“200”表示服务器发送的错误不是响应请求的错误,因此可能需要自己请求该URL来查看你得到的回应。