Security
機器人在 apache 日誌中請求奇數資源
在準備 RHSCA 考試時,我設置了我的第一台家庭伺服器,並很快發現機器人已經開始請求常見易受攻擊的文件。起初它令人震驚,然後當我發現這些特殊嘗試是多麼無害和無效時,它就純粹是有趣的了。
現在我在我的 apache access_log 中看到一些奇怪的請求,我只是不明白,希望有人可以幫助我澄清。
我不明白為什麼機器人會從我的伺服器路徑中請求另一台伺服器。據我了解,該機器人在如下所示的日誌中請求以下資源:http://MY.IP.ADD.RESS/http://61.152.144.145/judge.php
58.218.199.250 - - [15/Sep/2012:06:47:38 -0500] "GET http://61.152.144.145/judge.php HTTP/1.1" 404 287 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
這甚至沒有任何意義。我收到了很多這樣無意義的請求,我想知道從其他人的伺服器請求另一台伺服器是否可能在某種程度上證明對入侵者有用,或者這只是一個不知道他們在做什麼的腳本小子。
在我的訪問日誌中還有一些這樣的例子。
58.218.199.250 - - [14/Sep/2012:05:28:48 -0500] "GET http://59.53.91.9/proxy/judge.php HTTP/1.1" 404 289 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" 59.53.91.9 - - [14/Sep/2012:08:26:55 -0500] "GET http://59.53.91.9/proxyheader.php HTTP/1.0" 404 289 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" 59.53.91.9 - - [14/Sep/2012:08:26:57 -0500] "GET http://www.yahoo.com/ HTTP/1.0" 200 101 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" 59.53.91.9 - - [14/Sep/2012:13:11:58 -0500] "GET http://59.53.91.9/proxyheader.php HTTP/1.0" 404 289 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" 59.53.91.9 - - [14/Sep/2012:13:11:59 -0500] "GET http://www.yahoo.com/ HTTP/1.0" 200 101 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" 58.218.199.227 - - [14/Sep/2012:15:34:53 -0500] "GET http://59.53.91.9/httpproxy/proxyheader.php HTTP/1.1" 404 299 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
我在想,也許這些機器人請求這些文件是為了鼓勵主機管理員實際訪問這些地址,因為他們出於收集數據或其他目的的好奇心。我之所以這樣想,主要是因為我訪問了一個,它對我進行了 whois 查找並在頁面上顯示了該資訊。我只試過一個,所以我不知道這是否是一種常見的模式。
簡而言之,為什麼這些機器人會從我網站的文件結構中請求其他網站?我正在使用 CentOS。
這些請求正是 Web 瀏覽器發送到 Web 代理的內容,因此遠端客戶端可能正在探測打開的 Web 代理。