这是一个创建于 2740 天前的主题,其中的信息可能已经有所发展或是发生改变。
用之前 360 元薅的企鹅云 cvm 搭了一个域名缩短服务, 开放 80 端口, 发现日志里有很多奇怪的请求, 如下:
/ip_js.php?IP=(此处是我主机 IP 地址)&DK=80&DD=NSNIAOUFMOMZJIBA /ip_js.php?IP=(此处是我主机 IP 地址)&DK=80&DD=ASNIAOUFMOMZJIBD /ip_js.php?IP=(此处是我主机 IP 地址)&DK=80&DD=ASNIAOUFMOMZJIBD /ip_js.php?IP=(此处是我主机 IP 地址)&DK=80&DD=ASNIAOUFMOMZJIBD /ip_js.php?IP=(此处是我主机 IP 地址)&DK=80&DD=ASNIAOUFMOMZJIBD /ip_js.php?IP=(此处是我主机 IP 地址)&DK=80&DD=ASNIAOUFMOMZJIBD /ip_js.php?IP=(此处是我主机 IP 地址)&DK=80&DD=ASNIAOUFMOMZJIBD /ip_js.php?IP=(此处是我主机 IP 地址)&DK=80&DD=NSNIAOUFMOMZJIBA /ip_js.php?IP=(此处是我主机 IP 地址)&DK=80&DD=NSNIAOUFMOMZJIBA /ip_js.php?IP=(此处是我主机 IP 地址)&DK=80&DD=NSNIAOUFMOMZJIBA /ip_js.php?IP=(此处是我主机 IP 地址)&DK=80&DD=ASNIAOUFMOMZJIBD /ip_js.php?IP=(此处是我主机 IP 地址)&DK=80&DD=NSNIAOUFMOMZJIBA 根本不存在这个 php, 为何还在频繁试探请求? DD=后面跟的是穷举密码吗? 为何还总是那几个在重复? 实在想不通, 网上搜索 ip_js.php 也没有结果
已经针对含有".php?"的请求, response 返回一句问候的话了, 还是不停, 不想上 fail2ban, 让他请求去吧..后续考虑给他上 301 永久重定向
 | 1 MeteorCat 2018 年 7 月 12 日 via Android 专门建立个 ip_js.php 文件死循环,看谁耗的过谁 |
 | 2 jyf 2018 年 7 月 12 日 显然是想利用你的服务器做放大攻击 只不过他数据有误 以为你有那个服务而已 |
 | 3 yamedie OP @MeteorCat 怎么建死循环? 我没法确定对方是用浏览器发起的请求, 很大可能是通过工具, 或其他僵尸主机作为跳板 (对了, 我没记录访问者的 ip 地址, 先去加一下) |
 | 4 opengps 2018 年 7 月 12 日 via Android 都是些自动寻找某个特点的机器发的 |
 | 5 gamexg 2018 年 7 月 12 日 302 跳转到超大文件。 |
 | 6 joejhy 2018 年 7 月 12 日 via iPhone  1 @yamedie, 我查了下这个 ip_js.php ,应该是一个 IP 查询地址的程序,可以参考比如 http://dl.pconline.com.cn/download/1619887.html 如果部署了这个程序,那么访问 /ip_js.php?IP=(此处是我主机 IP 地址)&DK=80&DD=NSNIAOUFMOMZJIBA 就可以访问信息,反之 404,对方估计是想探测哪些服务器使用了这个程序,猜测这个程序存在漏洞可以被利用,黑客可能是探测可攻击目标,至于为什么是你的机器 IP 可能就没有特殊含义,黑客应该是有一个 IP 列表,取列表中的 IP 去构造请求 URL,于是乎正好就用探测目标的 IP 作为要查询 IP 构造到扫描 URL 里,建议可以屏蔽掉扫描 IP |
 | 8 ysc3839 2018 年 7 月 12 日 via Android 也许可以试试 gzip 炸弹让对方程序崩溃? |
 | 9 hjdtl 2018 年 7 月 12 日 |
| 10 yamedie OP @hjdtl 这种奇怪的 get 请求路径在我 log 里也有(如下), 我搞不懂他们是怎么请求的, 因为正常请求都应该是以 /开头的, 为何能访问我 80 端口并留下一个绝对路径的 get 请求... 我果然还是不懂 http 的一分一毫 http://proxyjudge.info/azenv.php http://clientapi.ipip.net/echo.php?info=1234567890 http://180.163.113.82/check_proxy http://46.161.9.31/echo.php |
 | 12 zencoding 2018 年 7 月 12 日 ban 掉 |
 | 13 lolizeppelin 2018 年 7 月 12 日 via Android 这就和你没 phpadmin 照样一堆 phpadmin 访问一个道理 |
 | 14 Oceanhime 2018 年 7 月 12 日 应该比较常见吧, 比如说 Windows 主机(无 SSH)经常被访问 22 端口爆破密码, 没有安装 Wordpress 还是被访问 wp-login.php 进行 wp 密码爆破一样, 但这个程序有些小众。其实和上面的例子是差不多的。 另外, 我看了一下刚刚 @joejhy #6 所附带的那个程序, 里面没有 $_GET 也没有出现 LZ 提到的 get 参数 'dk' 'ip' 等等, 应该不是这个程序。 (也有可能是老版本) |
 | 15 rooob1 2019 年 12 月 9 日 WARNING:tornado.access:404 POST http://check.best-proxies.ru/azenv.php?s=1575823 96013531PC080452084100808 (85.119.151.250) 0.00ms WARNING:tornado.access:404 CONNECT check.best-proxies.ru:80 (85.119.151.253) 0.0 0ms WARNING:tornado.access:404 POST http://check.best-proxies.ru/azenv.php?s=1575838 39545603PC080452084100808 (109.234.153.134) 0.00ms WARNING:tornado.access:404 CONNECT check.best-proxies.ru:80 (109.234.153.133) 0. 00ms WARNING:tornado.access:404 GET http://clientapi.ipip.net/echo.php?info=123456789 0 (139.162.81.62) 0.00ms WARNING:tornado.access:404 POST http://check.best-proxies.ru/azenv.php?s=1575852 82723436PC080452084100808 (109.234.153.132) 0.00ms WARNING:tornado.access:404 CONNECT check.best-proxies.ru:80 (109.234.153.131) 0. 00ms |
Select Language