Я только что заметил сотни странных записей в моем access.log в / var / log / apache2, все они выглядят так:
173.193.233.143 - - [26 / июн / 2011: 13: 50: 24 +0400] «ПОЛУЧИТЬ http://google.com/google.comhttp://google.com/google.comhttp://google.com/google.comhttp://google.com/google.comhttp://google.com/google. comhttp: //google.com/google.comhttp: //google.com/google.comhttp: //google.com/google.comhttp: //google.com/google.comhttp: //google.com/google. comhttp: //google.com/google.comhttp: //google.com/google.comhttp: //google.com/google.comhttp: //google.com/google.comhttp: //google.com/www. bing.comhttp: //www.bing.com/search? q = from +% 2findex.php? showuser% 3d +% 22Comments% 22 + 6 & filter = all & first = 41 & FORM = PORE HTTP / 1.0 "200 42542"http://google.com/google.comhttp://google.com/google.comhttp://google.com/google.comhttp://google.com/google.comhttp://google.com/google. comhttp: //google.com/google.comhttp: //google.com/google.comhttp: //google.com/google.comhttp: //google.com/google.comhttp: //google.com/google. comhttp: //google.com/google.comhttp: //google.com/google.comhttp: //google.com/google.comhttp: //google.com/google.comhttp: //google.com/www. bing.comhttp: //www.bing.com/search? q = from +% 2findex.php? showuser% 3d +% 22Comments% 22 + 6 & filter = all & first = 41 & FORM = PORE"" Mozilla / 4.0 (совместимый; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; XMPP Tiscali Communicator v.10.0.2; .NET CLR 2.0.50727) "
У кого-нибудь есть объяснение этому странному поведению?
Это будет сканирование зараженных машин, чтобы определить, уязвима ли ваша машина для ошибки безопасности, использованной для заражения этих машин, чтобы они могли передать вам инфекцию.
Если вы обновлены до последней версии, вам, вероятно, не о чем беспокоиться - такого рода вещи видны постоянно (я все еще иногда вижу попытки сканировать древний недостатки PHP и IIS + ASP, даже если машина не запускает эти серверы / службы).
«200», если это поле является кодом ответа, а не чем-то другим, например размером запроса, означает, что сервер отправляет что-то, кроме ошибки, в ответ на запрос, поэтому, возможно, стоит запросить этот URL самостоятельно, чтобы узнать, что ответ вы получите.