Недавно я заметил огромную нагрузку на мой основной производственный сервер, после некоторого анализа журнала я наткнулся на большое количество этих пользовательских агентов, происходящих примерно с 20 разных IP-адресов:
173.244.182.194 - - [07 / May / 2013: 16: 26: 17 +0200] "GET / HTTP / 1.1" 302 490 "-" "Java / 1.6.0_26" 173.244.182.194 - - [07 / May / 2013 : 16: 26: 18 +0200] "GET / HTTP / 1.1" 200 17376 "-" "Java / 1.6.0_26"
Догадавшись, что это какой-то инструмент для очистки экрана, мне удалось заблокировать этих пользовательских агентов с помощью fail2ban.
Теперь я озадачен, когда время бана истекает, запросы с IP-адресов запускаются снова и снова. Сейчас я блокирую около 10 IP в день.
Что это? IP-адреса поступают от серверов и от отдельных пользователей, это нормальное событие (например, зараженные серверы, которые постоянно пытаются войти через SSH), стоит ли мне беспокоиться о безопасности своего сервера?
Этот User-Agent используется по умолчанию, когда Java выполняет HTTP-запрос. Это указывает на то, что он был написан программистом, слишком ленивым, чтобы беспокоиться о настройке пользовательского агента пользователя.
Даже если это настоящий бот, он, вероятно, написан не очень хорошо. Мне было бы удобно заблокировать это.
Я видел тот же IP-адрес (и несколько других поблизости) в моих собственных веб-журналах, извлекающих очень спам-выглядящие URL-адреса, такие как /blog/there-are-some-diablo-3-gold-players.html а также общие URL-адреса со спамом Referer: заголовок, который делает вид, что они просто сделали поиск порно.
Я также видел, как он отправляет такие запросы, как POST /action/sign_in чего не должен делать ни один законный сканирующий бот. Он также изменяет свой User-Agent с помощью короткого списка обычных (хотя и немного старых) браузеров.