我最近注意到我的nginx访问日志中有一些奇怪的stream量。 我不确定这些表示是攻击,错误还是别的。 我已经开始发送这些HTTP 444,所以这些日志将表明。
1)我注意到stream量的增加,并在检查日志,我看到请求后这样的要求:
121.32.149.215 – – [28 / Nov / 2015:06:27:00 +0000]“GET / HTTP / 1.1”444 0
"http://vp.f8bet.com/wf360.html"“Mozilla / 5.0(Windows NT 6.1)AppleWebKit / 537.36(KHTML,如Gecko)Chrome / 31.0.1650.63 Safari / 537.36“” – “
他们来自不同的IP和不同的用户代理。 其中很多。 奇怪的部分是引用页面有我的TLD作为脚本标记的src。 我的网站没有从该URL返回任何JS,所以它只是点击该网站的索引。 如果我不那么好,我可以开始返回一些平均的JS。 我认为这可能只是引用垃圾邮件,但我不确定。
2)我也得到了很多这样的要求:
190.137.153.244 – – [28 / Nov / 2015:06:07:16 +0000]“GET / HTTP / 1.1”302 97“ – ”“WhatsApp”“ –
他们也来自不同的IP,并有WhatsApp作为用户代理。 这里有趣的部分是,他们是各种子域(看似随机的西class牙语单词),由于通配符解决。 我删除了通配符来杀死其中的一些,最后阻止了所有的WhatsApp用户代理stream量。
我在西class牙的一个“MJ12bot”作为引用者的子域名下也find了一些。 “MJ12bot”似乎是半合法的,但是如果它是一个真正的爬虫,那么这个子域永远都不是特别存在的东西。
就像任何人一样,我整天都会随机攻击,但是第一个是非常具体的,我发现第二个有趣的是由于子域。 过去一周左右,两人都不断地打我。
有没有人有这些要求的目的,如果我应该做的不仅仅是把他们送到444,并在我的路上?
这里有两个问题。 我会回答第二个问题:这不是一个攻击,这是因为人们input的方式和看起来像域名的东西自动被视为链接。
我注意到很多来自“WhatsApp”用户代理的http://kak.be/的请求。 矿几乎总是来自马来西亚。 我有一个更好的看日志,像你一样,他们是各种(不存在的)子域的请求。 我的猜测是WhatsApp用户使用点/句点来代替空格,从而导致看起来有效的域名。 WhatsApp然后看似预先链接,也许检查它的危险内容?
例子:
原始要求:ah.kakak.ini.ndak.percaya.gimana.ak.mau.tidur.di.mana.bingung.ak.kak.be 谷歌翻译:这个姐姐啊不相信我要睡觉的地方怎么会被困惑 原始请求:kak.maafkan.adik.pliz.kak.be 谷歌翻译:kak kak被原谅妹妹PLIZ
根据英文维基词典 ,“kak”/“kakak”表示(更老的)姐姐或兄弟。 嘿。
所以,没什么可担心的。 那就是if.you.ask.me.