Недавно я заметил странный трафик в моих журналах доступа nginx. Я не уверен, указывают ли они на атаку, ошибку или что-то еще. Я начал отправлять их на HTTP 444, поэтому в этих журналах это будет указано.
1) Я заметил увеличение трафика, и при проверке логов я видел запрос за запросом примерно так:
121.32.149.215 - - [28 / ноя / 2015: 06: 27: 00 +0000] "GET / HTTP / 1.1" 444 0
"http://vp.f8bet.com/wf360.html"
"Mozilla / 5.0 (Windows NT 6.1) AppleWebKit / 537.36 (KHTML, например, Gecko) Chrome / 31.0.1650.63 Safari / 537.36" "-"
Они приходят с разных IP-адресов и разных пользовательских агентов. Много их. Странно то, что на ссылающейся странице мой TLD указан в качестве src для тега скрипта. Мой сайт не возвращает JS с этого URL-адреса, поэтому он просто попадает в индекс сайта. Если бы я был менее любезен, я мог бы начать возвращать там какой-нибудь плохой JS. Я думаю, это может быть спам от реферера, но я не уверен.
2) Я тоже получаю много таких запросов:
190.137.153.244 - - [28 / ноя / 2015: 06: 07: 16 +0000] "GET / HTTP / 1.1" 302 97 "-" "WhatsApp" "-"
Они также поступают с разных IP-адресов и имеют WhatsApp в качестве пользовательского агента. Интересно то, что это различные поддомены (кажущиеся случайными испанскими словами), которые разрешаются из-за подстановочного знака. Я удалил подстановочный знак, чтобы убить некоторые из них, и в итоге просто заблокировал весь трафик пользовательского агента WhatsApp.
Я получаю кое-что под испанским поддоменом с "MJ12bot" в качестве реферера. MJ12bot выглядит наполовину легальным, но если это настоящий сканер, субдомен никогда не является чем-то, что специально существовало.
Как и любой другой, я весь день получаю случайные атаки, но первая очень специфична, а вторая мне интересна из-за поддоменов. Оба постоянно били меня в течение последней недели или около того.
Есть ли у кого-нибудь мысли о цели этих запросов, и нужно ли мне сделать что-то большее, чем просто отправить их на 444 и быть в пути?
Здесь есть два вопроса. Я отвечу на второй: это не атака, это из-за того, как люди вводят текст, и вещи, которые выглядят как доменные имена, автоматически обрабатываются как ссылки.
Я заметил много запросов на http://kak.be/ из пользовательского агента "WhatsApp". Мои почти всегда родом из Малайзии. Я лучше посмотрел журналы, и, как и вы, они были запросами на различные (несуществующие) поддомены. Я предполагаю, что пользователи WhatsApp используют точки / точки вместо пробелов, что, в свою очередь, приводит к появлению корректно выглядящих доменных имен. Затем WhatsApp предварительно выбирает эту ссылку, может быть, чтобы проверить ее на наличие опасного контента?
Примеры:
Original request: ah.kakak.ini.ndak.percaya.gimana.ak.mau.tidur.di.mana.bingung.ak.kak.be Google Translate: This sister ah not believe how I want to sleep where kak be confused ak Original request: kak.maafkan.adik.pliz.kak.be Google Translate: kak kak be forgiven sister pliz
В соответствии с английский викисловарь, «как» / «какак» обозначают (старшую) сестру или брата. Хех.
Так что да, беспокоиться не о чем. То есть if.you.ask.me.