我目前正在调查客户网站中的不稳定问题。 在查看访问日志的同时,我注意到一个特定IP突然爆发的活动。 它开始请求正常的URL,但速度很快 – 每秒8次。 在大多数情况下,同一个URL(实际上是一个目录)被请求,但是散布着这些URL是以有效的方式开始的,但总是以一个随机的11个字符的值结束:
93.133.234.xxx - - [25/Jul/2010:13:49:57 +0200] "GET /com/COM/de/ HTTP/1.1" 302 - 93.133.234.xxx - - [25/Jul/2010:13:49:57 +0200] "GET /com/COM/de/ HTTP/1.1" 302 - 93.133.234.xxx - - [25/Jul/2010:13:49:57 +0200] "GET /com/0g2exjxspky.html HTTP/1.1" 302 - 93.133.234.xxx - - [25/Jul/2010:13:49:57 +0200] "GET /com/COM/de/ HTTP/1.1" 302 - 93.133.234.xxx - - [25/Jul/2010:13:49:57 +0200] "GET /com/COM/de/ HTTP/1.1" 302 -
有没有人见过这种行为? 我无法弄清楚这背后可能是什么。 我有兴趣听到有人对此的意见。
保罗
不知道,但许多spambots等行为是这样的,所以它可能只是另一个僵尸Windows客户端轰炸你的服务器。
如果您的服务器及其任何基于服务器的应用程序正确响应伪造调用(忽略或错误),通常不会有问题。
我几乎每天都会看到这样的事情,还有很多网页上不存在的请求。 据我已经能够确定它是寻找特定漏洞的机器人。 我只是接受它作为在互联网上的一部分,并没有花时间来确定他们正在寻找什么漏洞。
你碰到一些僵尸/机器人/无论试图探讨在各种系统上使用的各种程序中的各种问题。 一些networking服务器(较旧,未打补丁)或某些软件可能会通过安装软件等来反应
这些蠕虫基本上试图利用随机IP地址上的安全问题X.
有些是古老的,但仍然存在 – 据推测,在互联网上仍然存在未被修补的Windows 2000系统。