我pipe理的其中一个网站上个月有不寻常的stream量。 网站中存在不存在约6500次点击(服务器根据日志发送了正确的404响应)。
url是/fkzk-start.html,点击来自世界各地的各种IP地址。 每个IP还访问了网站上的其他页面,但到/fkzk-start.html页面的stream量使用了不同的用户代理;
“MobileSafari / 602.1 CFNetwork / 808.3 Darwin / 16.3.0”
对于暴露的CMSpipe理目录,通常会有十几个自动攻击,它们也都会收到404个响应,但是没有其他的stream量是不寻常的。
这是一个企图在我的网站上黑客?
为了知道这是一个“真正的”攻击,你需要知道什么types的请求已经完成。 如果这些IP在一个月内只是做了6500个GET请求,我认为它不能被认定为“攻击”。 您需要分析日志文件以确定从此URL访问哪些资源。 乍一看,根据不同的IP地址,它可能会显示为一个DDOS,但正如我之前所说,在一个月的时间内请求数量是不足以扼杀我认为的Web服务器。
如果不知道所有匹配的比例,那么404个匹配的数量(〜6,500)就不会很多。 但是,如果这些来自普通用户的IP地址,并且比例较低,则不太可能是攻击 。
MobileSafari/602.1 CFNetwork/808.3 Darwin/16.3. 在用户代理中通常是指iPhone用户使用“ 共享”菜单中 的“ 添加到主屏幕”选项的情况。 虽然客户端的普通用户代理以Mozilla/5.0 (iPhone; CPU iPhone OS ,以及实际的版本信息和纯粹历史原因的许多东西)开始,
“ 添加到主屏幕”会尝试检索标准Apple Touch图标和HTML 4.01和XHTML 1.0中标准化的/favicon.ico ,并发送不同的用户代理。
GET /apple-touch-icon-120x120-precomposed.png HTTP/1.1 GET /apple-touch-icon-120x120.png HTTP/1.1 GET /apple-touch-icon-precomposed.png HTTP/1.1 GET /apple-touch-icon.png HTTP/1.1 GET /favicon.ico HTTP/1.1
除了这些标准位置之外,还有其他的定义
<link rel="apple-touch-icon" href="some.png" /> <link rel="apple-touch-icon-precomposed" href="some.png" />
导致它在快捷方式添加期间被检索。
CFNetwork是 MacOS ja iOS 的Apple框架 。 因此,iOS应用程序可能导致相同的用户代理。 如果您的网站提供任何iOS应用,请检查该应用没有任何试图访问/fkzk-start.html历史代码。
这个特定的/fkzk-start.html文件似乎不是一个易受攻击的CMS或类似的已知迹象。 在实际攻击之前,有时会find这种已知的path来识别易受攻击的站点。