攻击者在 7 月 11 号凌晨 3 点的攻击过程: 2025-07-11 03:51:12 GET http://我服务器地址:5000/ 攻击者 IP:121.237.36.31 (中国江苏省南京市栖霞区) 响应:{"code": "400", "error": "请求错误", "message": "404 Not Found: The requested URL was not found on the server. If you entered the URL manually please check your spelling and try again."}
2025-07-11 03:50:56 GET http://我服务器地址:5000/ 攻击者 IP:121.237.36.27 (中国江苏省南京市栖霞区) 响应内容跟第一条相同
2025-07-11 03:50:56 GET http://我服务器地址:5000/ 攻击者 IP:121.237.36.29 (中国江苏省南京市栖霞区) 响应内容跟第一条相同
2025-07-11 03:50:55 GET http://我服务器地址:5000/favicon.ico 攻击者 IP:121.237.36.30 (中国江苏省南京市栖霞区) 响应内容跟第一条相同
2025-07-11 03:41:41 GET http://我服务器地址:5000/.well-known/security.txt 攻击者 IP:148.153.188.246 (美国 得克萨斯州 达拉斯) 响应内容跟第一条相同
2025-07-11 03:41:40 GET http://我服务器地址:5000/robots.txt/ 攻击者 IP:148.153.188.246 (美国 得克萨斯州 达拉斯) 响应内容跟第一条相同
2025-07-11 03:41:25 GET http://我服务器地址:5000/favicon.ico 攻击者 IP:148.153.188.246 (美国 得克萨斯州 达拉斯) 响应内容跟第一条相同
2025-07-11 03:41:10 GET http://我服务器地址:5000/ 攻击者 IP:148.153.188.246 (美国 得克萨斯州 达拉斯) 响应内容跟第一条相同
2025-07-11 03:41:09 GET http://0.0.0.0:5000/ 攻击者 IP:148.153.188.246 (美国 得克萨斯州 达拉斯) 响应内容跟第一条相同
2025-07-11 03:33:31 CONNECT http://api.ipify.org:443/api.ipify.org:443 攻击者 IP:196.251.89.45 (荷兰 北荷兰省 阿姆斯特丹) 响应内容跟第一条相同
2025-07-11 03:32:49 CONNECT http://api.ipify.org:443/api.ipify.org:443 攻击者 IP:196.251.89.45 (荷兰 北荷兰省 阿姆斯特丹) 响应内容跟第一条相同
攻击手法分析:
疑问:
![]() |
1
virusdefender 53 天前
扫描器而已,不是人工
|
![]() |
2
smallbeac008 OP @virusdefender 我也觉得是,并且是每天都在重复这样的一个动作,我这样响应算是正常的吗?我能做些什么?
|
![]() |
3
liuzimin 53 天前 via Android
我也发现了,我们的 oss 也有这样的日志,问 AI 说这是有爬虫在爬我们。
|
![]() |
4
pusheax 53 天前
互联网上存在大量僵尸网络节点,7*24 小时的扫描全网。
主要的攻击手段就是弱口令+文件扫描+常见已知漏洞的利用( NDay )。 防御措施是把各个应用的密码强度设高一点,漏洞补丁打全。 封 IP 的作用不大,僵尸网络的节点很多是被攻陷的正常设备,IP 可能看起来很正常,而且会一直变动。 |
![]() |
5
xdeng 53 天前
攻击者不会访问 favicon.ico 这个文件的吧
|
![]() |
6
smallbeac008 OP @xdeng 对,现在看起来确实是像机器,工具自动扫描的,并非人工定向攻击,主要是扫描你服务器是否存活在线。
|
![]() |
7
smallbeac008 OP @pusheax 确实,他这个每天的 ip 都不一样,还是固定时间段,集中在凌晨 1~3 点,早上 7~9 点。
|
![]() |
8
opengps 53 天前
这样的访问每天都很多,基本都是某些工具自动扫的
|
![]() |
9
iguess 53 天前
这种太常见了,常见端口稍微改一下就能少一些被扫
|
![]() |
10
exiaoxing 53 天前
话说这个不算 SSRF 吧。。。
|
11
xuhengjs 53 天前
你开了端口,就会有肉鸡来扫描,无解的。可能得办法就是频繁访问的 ip 拉黑
|
![]() |
12
lusifer 4 天前
装一个 WAF 拦截掉
|