Назад | Перейти на главную страницу

Много запросов на один и тот же URL с нового IP-адреса

Только что получил новый VPS с двумя IP. Я получаю тонну запросов от нескольких разных клиентских IP-адресов для одного пути на одном из IP-адресов, почти по одному в секунду. Путь - "/lzb/gz.php". Есть идеи, что это такое? И я должен быть обеспокоен? Должен ли я запросить новый IP-адрес у моего VPS-провайдера или просто надеяться, что объем со временем снизится?

К вашему сведению, я запускаю nginx как обратный прокси-сервер для apache2. VPS поставляется с запущенным apache2, и запросы на «/lzb/gz.php» начинаются сразу после покупки согласно журналам apache2. Когда я включил nginx, запросы начали появляться в логах nginx. Я почти уверен, что запросы ограничены одним из двух IP-адресов, потому что у меня есть уникальный доступ и журналы ошибок, настроенные для виртуального хоста, который я пробовал на обоих IP-адресах, и запросы отображаются в этих журналах только тогда, когда виртуальный хост прослушивает на рассматриваемом IP-адресе. И apache2, и теперь nginx возвращают 404, но меня по-прежнему беспокоит объем запросов по одному и тому же пути и потенциальные последствия для безопасности.

/lzb/gz.php не выскакивает как ничего гнусного. Похоже, это файл в пакете брандмауэра xwall, поэтому, возможно, предыдущий владелец этого IP-адреса запускал это приложение.

У вас есть три варианта, которые я вижу:

  1. Вы, безусловно, можете запросить новый IP-адрес у своего провайдера, если такое поведение вас беспокоит, но один запрос в секунду не является проблемой.
  2. Отбросьте трафик с помощью брандмауэра вашего сервера. Я думаю, что это самый быстрый и эффективный вариант, если только пропускная способность, используемая ошибочными входящими соединениями, не начинает съедать ваши ресурсы.
  3. Я считаю, что лучшим долгосрочным решением было бы отслеживать исходный IP-адрес (а) и посмотреть, есть ли какой-либо сетевой оператор, с которым вы можете поговорить о запросах. Возможно, это всего лишь несколько других систем, которые раньше полагались на услуги, предоставляемые с вашего IP-адреса. В этом случае у вас есть хороший шанс отследить все до создателей.
  4. Ладно, соврал, есть четвертая возможность, но она не очень хорошая. Вы можете отложить входящие запросы, используя ограничение скорости iptables а возможно скиньте системы отправляющие трафик. Конечно, если вы используете другую ОС, изучите возможности ограничения скорости ее брандмауэра. Если отправляющая система на ваш IP-адрес не отвечает немедленно или вы отправляете альтернативные ответы обратно, вы можете отключить все, что делает связь, и вызвать достаточно беспокойства в журналах отправляющей системы, чтобы уведомить человека. Это внешний вид, и это далеко не лучший вариант.

Вероятно, запросы исходят от неработающего клиента. Вам, вероятно, не о чем беспокоиться, и вы можете воспользоваться советами @ WesleyDavid, чтобы избавиться от этого раздражения.

VPS поставляется с запущенным apache2, и запросы на «/lzb/gz.php» начинаются сразу после покупки согласно журналам apache2.

Запросы, вероятно, появились после покупки, потому что ваш поставщик выделил вам IP-адреса и настроил брандмауэр, чтобы разрешить доступ к этим IP-адресам.

Кто-то, вероятно, владел этими IP-адресами до вас, и запросы /lzb/gz.php скорее всего, предназначены для веб-сайта, который существовал до вашего. Я добираюсь сюда, но учтите, что lzb и gz оба являются обычным сокращением для двух методов сжатия, поэтому возможно, что предыдущий владелец обслуживал сжатый контент. Поиск в Google показывает, что gz.php не является необычным именем для файла и иногда используется для сжатия данных на лету с помощью PHP.

Google для сайт: your.ip.address / lzw / gz.php может раскрыть, кем был предыдущий владелец, и пролить свет на проблему.