V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
smallbeac008
V2EX  ›  服务器

网络安全攻击过程,有 V 友熟悉这套攻击手法吗?

  •  
  •   smallbeac008 · 53 天前 · 1822 次点击
    这是一个创建于 53 天前的主题,其中的信息可能已经有所发展或是发生改变。

    攻击者在 7 月 11 号凌晨 3 点的攻击过程: 2025-07-11 03:51:12 GET http://我服务器地址:5000/ 攻击者 IP:121.237.36.31 (中国江苏省南京市栖霞区) 响应:{"code": "400", "error": "请求错误", "message": "404 Not Found: The requested URL was not found on the server. If you entered the URL manually please check your spelling and try again."}

    2025-07-11 03:50:56 GET http://我服务器地址:5000/ 攻击者 IP:121.237.36.27 (中国江苏省南京市栖霞区) 响应内容跟第一条相同

    2025-07-11 03:50:56 GET http://我服务器地址:5000/ 攻击者 IP:121.237.36.29 (中国江苏省南京市栖霞区) 响应内容跟第一条相同

    2025-07-11 03:50:55 GET http://我服务器地址:5000/favicon.ico 攻击者 IP:121.237.36.30 (中国江苏省南京市栖霞区) 响应内容跟第一条相同

    2025-07-11 03:41:41 GET http://我服务器地址:5000/.well-known/security.txt 攻击者 IP:148.153.188.246 (美国 得克萨斯州 达拉斯) 响应内容跟第一条相同

    2025-07-11 03:41:40 GET http://我服务器地址:5000/robots.txt/ 攻击者 IP:148.153.188.246 (美国 得克萨斯州 达拉斯) 响应内容跟第一条相同

    2025-07-11 03:41:25 GET http://我服务器地址:5000/favicon.ico 攻击者 IP:148.153.188.246 (美国 得克萨斯州 达拉斯) 响应内容跟第一条相同

    2025-07-11 03:41:10 GET http://我服务器地址:5000/ 攻击者 IP:148.153.188.246 (美国 得克萨斯州 达拉斯) 响应内容跟第一条相同

    2025-07-11 03:41:09 GET http://0.0.0.0:5000/ 攻击者 IP:148.153.188.246 (美国 得克萨斯州 达拉斯) 响应内容跟第一条相同

    2025-07-11 03:33:31 CONNECT http://api.ipify.org:443/api.ipify.org:443 攻击者 IP:196.251.89.45 (荷兰 北荷兰省 阿姆斯特丹) 响应内容跟第一条相同

    2025-07-11 03:32:49 CONNECT http://api.ipify.org:443/api.ipify.org:443 攻击者 IP:196.251.89.45 (荷兰 北荷兰省 阿姆斯特丹) 响应内容跟第一条相同

    攻击手法分析:

    1. 03:32:49 首先尝试构造异常地址,测试服务器是否存在 SSRF 漏洞
    2. 03:41:09 一样是伪造请求头的 URL ,测试服务器是否存在 SSRF 漏洞
    3. 03:41:10 后面开始请求一些常见的文件,来判断服务器是否存活
    4. 03:50:56 前面发现都请求不通,以为是国外 ip 被封禁,尝试使用国内的 ip 进行探测
    5. 最后攻击者扬长而去,并且每天都在重复这样的攻击,而且还是美国上班时间

    疑问:

    1. 各位 V 友,是否熟悉这种攻击手法,是来源某种工具吗?
    2. 这样的攻击,是不是美国某 x 的项目?并非个人
    12 条回复    2025-08-29 10:58:47 +08:00
    virusdefender
        1
    virusdefender  
       53 天前
    扫描器而已,不是人工
    smallbeac008
        2
    smallbeac008  
    OP
       53 天前
    @virusdefender 我也觉得是,并且是每天都在重复这样的一个动作,我这样响应算是正常的吗?我能做些什么?
    liuzimin
        3
    liuzimin  
       53 天前 via Android
    我也发现了,我们的 oss 也有这样的日志,问 AI 说这是有爬虫在爬我们。
    pusheax
        4
    pusheax  
       53 天前
    互联网上存在大量僵尸网络节点,7*24 小时的扫描全网。
    主要的攻击手段就是弱口令+文件扫描+常见已知漏洞的利用( NDay )。
    防御措施是把各个应用的密码强度设高一点,漏洞补丁打全。
    封 IP 的作用不大,僵尸网络的节点很多是被攻陷的正常设备,IP 可能看起来很正常,而且会一直变动。
    xdeng
        5
    xdeng  
       53 天前
    攻击者不会访问 favicon.ico 这个文件的吧
    smallbeac008
        6
    smallbeac008  
    OP
       53 天前
    @xdeng 对,现在看起来确实是像机器,工具自动扫描的,并非人工定向攻击,主要是扫描你服务器是否存活在线。
    smallbeac008
        7
    smallbeac008  
    OP
       53 天前
    @pusheax 确实,他这个每天的 ip 都不一样,还是固定时间段,集中在凌晨 1~3 点,早上 7~9 点。
    opengps
        8
    opengps  
       53 天前
    这样的访问每天都很多,基本都是某些工具自动扫的
    iguess
        9
    iguess  
       53 天前
    这种太常见了,常见端口稍微改一下就能少一些被扫
    exiaoxing
        10
    exiaoxing  
       53 天前
    话说这个不算 SSRF 吧。。。
    xuhengjs
        11
    xuhengjs  
       53 天前
    你开了端口,就会有肉鸡来扫描,无解的。可能得办法就是频繁访问的 ip 拉黑
    lusifer
        12
    lusifer  
       4 天前
    装一个 WAF 拦截掉
    关于   ·   帮助文档   ·   自助推广系统   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2922 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 14:34 · PVG 22:34 · LAX 07:34 · JFK 10:34
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.