Я заметил в лог-файле веб-сервера, что некоторые ребята фактически проверяют существование некоторых страниц на моем сервере (и, возможно, на другом сервере).
Итак, я установил собственный сайт 404 и прочитал, кто эти посетители. Что-то вроде
ErrorDocument 404 /404.php
и я получаю что-то вроде этого:
GATEWAY_INTERFACE CGI/1.1
SERVER_ADDR 62.75.xxx.xxx (my servers IP)
SERVER_NAME vps28680.vps.ovh.ca
SERVER_SOFTWARE Apache/2.2.22 (Debian)
SERVER_PROTOCOL HTTP/1.1
REQUEST_METHOD GET
REQUEST_TIME 1465225786
REQUEST_TIME_FLOAT 1465225786.731
DOCUMENT_ROOT /var/www
HTTP_HOST vps28680.vps.ovh.ca
HTTP_USER_AGENT Mozilla/5.0 (Windows NT 6.1; WOW64; rv:23.0) Gecko/20100101 Firefox/23.0
REMOTE_ADDR 167.114.3.44
REMOTE_PORT 44685
SCRIPT_FILENAME /var/www/404.php
SERVER_PORT 80
SERVER_SIGNATURE Apache/2.2.22 (Debian) Server at vps28680.vps.ovh.ca Port 80
SCRIPT_NAME /404.php
REQUEST_URI HTTP://vps28680.vps.ovh.ca/judge/judge.php
В нормальном мире НАЗВАНИЕ СЕРВЕРА должен быть частью REQUEST_URI и он должен решить REMOTE_ADDR.
как в этом случае:
$_SERVER(REQUEST_URI) = "HTTP://vps28680.vps.ovh.ca/judge/judge.php"
$_SERVER(SERVER_NAME) = "vps28680.vps.ovh.ca"
and
$_SERVER(SERVER_NAME) = "167.114.3.44"
Я сделал «копать vps28680.vps.ovh.ca», и оказалось, что это 167.114.3.44.
Хорошо, пока все хорошо, но проблема в том, что на моем сервере нет ни IP, ни URI.
$ _SERVER (REQUEST_URI) согласно документации представляет собой URI, который посетитель ввел в своем браузере Firefox и приземлился на моем сервере. И ровно сразу после его посещения я перешел по ссылке, и она не попала в свой ящик.
Хорошо, я подумал, что вполне возможно, что кто-то настроил сервер имен, чтобы он указывал на мой ящик с этим доменом, но как он мог сделать это с поддельным IP? Так почему он приземлился на мою коробку?
A.f.a.i.k the HOST_NAME должно было показывать мое доменное имя, а не его домен. Или возможно это не его IP и не его домен.
Может кто-нибудь объяснить мне, что происходит?
Вы можете указать любое имя хоста, которое хотите, в заголовке HTTP HOST, и если с этим именем не определен vhost, веб-серверы обычно будут обслуживать его с сервером по умолчанию, который, опять же, обычно является только первым определенным (это функция HTTP /1.1 и позволяет обслуживать несколько доменов с одним IP-адресом).
Итак, происходит то, что кто-то на 167.114.x.x (скорее всего, заражен ботом) сканирует веб-узлы для любых целей и просто предоставляет собственное имя узла в HTTP-запросе. Таким образом, они могут просто перебирать IP-адреса и не нуждаться в действительных именах хостов.
Другими словами: здесь не на что смотреть, просто обычный день в сети.