V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Recommended Services
Amazon Web Services
LeanCloud
New Relic
ClearDB
huaxing0211
V2EX  ›  云计算

这服务器日志正常么?

  •  
  •   huaxing0211 · 2017-05-31 18:05:54 +08:00 · 4621 次点击
    这是一个创建于 2731 天前的主题,其中的信息可能已经有所发展或是发生改变。

    服务器禁止了 IP 直接访问,否则 404,但日志里总有这些奇怪的 GET、CONNECT,正常么?

    193.219.125.234 - - [31/May/2017:17:08:43 +0800] "GET http://check2.zennolab.com/proxy.php HTTP/1.1" 404 162 "RefererString" "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:45.0) Gecko/20100101 Firefox/45.0"
    38.89.136.143 - - [31/May/2017:17:10:51 +0800] "CONNECT aspmx.l.google.com:25 HTTP/1.0" 400 166 "-" "-"
    38.89.136.143 - - [31/May/2017:17:10:51 +0800] "CONNECT aspmx.l.google.com:25 HTTP/1.0" 400 166 "-" "-"
    38.89.136.143 - - [31/May/2017:17:10:55 +0800] "CONNECT aspmx.l.google.com:25 HTTP/1.0" 400 166 "-" "-"
    46.161.9.48 - - [31/May/2017:17:17:38 +0800] "GET /pp/anp.php?a=UUQHWSHYCMCJDVW&b=1155&c=cfd0&i=4 HTTP/1.1" 404 162 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:26.1) Gecko/20100101 Firefox/26.0"
    113.57.46.173 - - [31/May/2017:17:17:43 +0800] "GET http://httpbin.org/get HTTP/1.1" 404 162 "-" "Mozilla/5.0 (X11; Linux i686; U;) Gecko/20070322 Kazehakase/0.4.5"
    125.93.83.102 - - [31/May/2017:17:18:14 +0800] "GET http://m.search.yahoo.com/ HTTP/1.1" 404 564 "http://m.search.yahoo.com/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
    115.29.250.31 - - [31/May/2017:17:20:06 +0800] "GET http://apps.bdimg.com/libs/js-url/1.7.5/js-url.min.js HTTP/1.1" 404 162 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) MSIE11"
    54.222.197.111 - - [31/May/2017:17:20:27 +0800] "GET http://www.51job.com/ HTTP/1.1" 404 564 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.112 Safari/537.36"
    183.62.230.118 - - [31/May/2017:17:25:43 +0800] "GET http://sz.lianjia.com HTTP/1.1" 404 162 "-" "-"
    104.236.51.114 - - [31/May/2017:17:28:04 +0800] "GET http://mirror.kingproxies.com/?ip=104.236.51.114&proxy=115.159.191.249&starttime=1496222882548 HTTP/1.1" 404 162 "-" "bot"
    183.66.25.149 - - [31/May/2017:17:32:57 +0800] "GET http://m.search.yahoo.com/ HTTP/1.1" 404 564 "http://m.search.yahoo.com/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
    46.161.9.48 - - [31/May/2017:17:33:28 +0800] "GET /pp/anp.php?a=UUQHWSHYCMCJDVW&b=1155&c=cfd0&i=4 HTTP/1.1" 404 162 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:26.1) Gecko/20100101 Firefox/26.0"
    120.132.3.151 - - [31/May/2017:17:35:30 +0800] "\x04\x01\x00PpTi4\x00" 400 166 "-" "-"
    120.132.3.151 - - [31/May/2017:17:35:30 +0800] "GET http://www.qq.com/404/search_children.js HTTP/1.1" 404 564 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/35.0.1916.114 Safari/537.36"
    188.163.86.99 - - [31/May/2017:17:38:12 +0800] "GET http://chek.zennolab.com/proxy.php HTTP/1.1" 404 162 "RefererString" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:21.0) Gecko/20100101 Firefox/21.0"
    188.163.86.99 - - [31/May/2017:17:38:23 +0800] "\x04\x01\x00P[y9D\x00" 400 166 "-" "-"
    178.163.94.238 - - [31/May/2017:17:42:11 +0800] "GET http://chekfast.zennolab.com/proxy.php HTTP/1.1" 404 162 "RefererString" "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:45.0) Gecko/20100101 Firefox/45.0"
    193.124.64.25 - - [31/May/2017:17:51:25 +0800] "GET http://chekfast.zennolab.com/proxy.php HTTP/1.1" 404 162 "RefererString" "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:45.0) Gecko/20100101 Firefox/45.0"
    188.235.139.196 - - [31/May/2017:17:52:41 +0800] "GET http://chekfast.zennolab.com/proxy.php HTTP/1.1" 404 162 "RefererString" "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:45.0) Gecko/20100101 Firefox/45.0"
    213.111.233.25 - - [31/May/2017:17:53:35 +0800] "\x05\x01\x00" 400 166 "-" "-"
    
    15 条回复    2017-06-01 16:26:48 +08:00
    XiaoxiaoPu
        1
    XiaoxiaoPu  
       2017-05-31 18:11:10 +08:00
    判断你是不是代理,是的话就放到代理池里
    DoraJDJ
        2
    DoraJDJ  
       2017-05-31 18:16:21 +08:00
    被扫 HTTP 代理了
    fzleee
        3
    fzleee  
       2017-05-31 18:33:52 +08:00
    遇到这种请求,可以考虑重定向到国外的某些知名网站
    huaxing0211
        4
    huaxing0211  
    OP
       2017-05-31 19:26:47 +08:00
    @fzleee 我搞个 301 去试试 !
    huaxing0211
        5
    huaxing0211  
    OP
       2017-05-31 19:29:17 +08:00
    @fzleee 就这样了!
    server_name _; #判断是 IP 访问
    return 301 http://www.163.com$request_uri; #301 重定向
    Devmingwang
        6
    Devmingwang  
       2017-05-31 22:07:53 +08:00 via Android
    如果你的服务器是在国外,那么请你直接屏蔽掉 windows nt6.1 这个标识的 UA,或者是直接返回一个含有代码的网页让浏览器直接 dump,因为部分 GFW 模拟用户访问看站点是否存在敏感内容的也是这个 UA。
    580a388da131
        7
    580a388da131  
       2017-05-31 23:48:47 +08:00
    @Devmingwang 这不是把 win7 都屏蔽了?
    NoAnyLove
        8
    NoAnyLove  
       2017-06-01 03:45:21 +08:00
    我以前的做法是,用 fail2ban,如果 5 分钟内同一个 IP 出现 5 次 404 或者 403,就 Ban 10 分钟。用重定向有啥好处?
    shiji
        9
    shiji  
       2017-06-01 04:27:01 +08:00
    @NoAnyLove 你这个策略如果是论坛,博客什么的,,就比较危险了。。。
    NoAnyLove
        10
    NoAnyLove  
       2017-06-01 08:06:33 +08:00
    @shiji 个人博客,访问量小。能具体说一下为什么比较危险吗?
    agostop
        11
    agostop  
       2017-06-01 08:16:23 +08:00
    @NoAnyLove
    5 分钟 5 次……
    我刷 v2ex,1 分钟不都不止 5 次
    shiji
        12
    shiji  
       2017-06-01 09:09:11 +08:00
    @NoAnyLove 论坛的话, 可以构造几个 404 或者 403 作为图片插入。然后所有到这个页面的访客就都被屏蔽 5 分钟了。。 博客取决于别人能不能编辑或者评论区能不能插入图片。
    NoAnyLove
        13
    NoAnyLove  
       2017-06-01 10:05:45 +08:00
    @agostop 呃,正常情况下一般不会出现 404 才对啊,除非是之前失效的链接。只有 bot 猜路径才会出现高频率的 404 吧
    NoAnyLove
        14
    NoAnyLove  
       2017-06-01 10:09:35 +08:00
    @shiji 你是说,比如服务器 server 是 www.example.com,然后在发的帖子或者回复中,构造多个不存在的图片链接,比如 www.example.com/foo.png,其他用户访问时会自动加载,就造成了多个 404 请求?

    想一想好像还真有这种可能呢。其实博客的评论如果没有过滤 img 和其他元素,也有可能出现这种情况

    那怎么样处理比较好?
    QQ2171775959
        15
    QQ2171775959  
       2017-06-01 16:26:48 +08:00
    你这个日志好长哦。。具体的处理解决方法楼上面都有很多的。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1004 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 20:15 · PVG 04:15 · LAX 12:15 · JFK 15:15
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.