有人频繁试探云主机的 ip_js. PHP 是什么操作?

2018-07-12 09:44:08 +08:00
 yamedie

用之前 360 元薅的企鹅云 cvm 搭了一个域名缩短服务, 开放 80 端口, 发现日志里有很多奇怪的请求, 如下:

/ip_js.php?IP=(此处是我主机 IP 地址)&DK=80&DD=NSNIAOUFMOMZJIBA
/ip_js.php?IP=(此处是我主机 IP 地址)&DK=80&DD=ASNIAOUFMOMZJIBD
/ip_js.php?IP=(此处是我主机 IP 地址)&DK=80&DD=ASNIAOUFMOMZJIBD
/ip_js.php?IP=(此处是我主机 IP 地址)&DK=80&DD=ASNIAOUFMOMZJIBD
/ip_js.php?IP=(此处是我主机 IP 地址)&DK=80&DD=ASNIAOUFMOMZJIBD
/ip_js.php?IP=(此处是我主机 IP 地址)&DK=80&DD=ASNIAOUFMOMZJIBD
/ip_js.php?IP=(此处是我主机 IP 地址)&DK=80&DD=ASNIAOUFMOMZJIBD
/ip_js.php?IP=(此处是我主机 IP 地址)&DK=80&DD=NSNIAOUFMOMZJIBA
/ip_js.php?IP=(此处是我主机 IP 地址)&DK=80&DD=NSNIAOUFMOMZJIBA
/ip_js.php?IP=(此处是我主机 IP 地址)&DK=80&DD=NSNIAOUFMOMZJIBA
/ip_js.php?IP=(此处是我主机 IP 地址)&DK=80&DD=ASNIAOUFMOMZJIBD
/ip_js.php?IP=(此处是我主机 IP 地址)&DK=80&DD=NSNIAOUFMOMZJIBA

根本不存在这个 php, 为何还在频繁试探请求? DD=后面跟的是穷举密码吗? 为何还总是那几个在重复? 实在想不通, 网上搜索 ip_js.php 也没有结果

已经针对含有".php?"的请求, response 返回一句问候的话了, 还是不停, 不想上 fail2ban, 让他请求去吧..后续考虑给他上 301 永久重定向

6578 次点击
所在节点    云计算
15 条回复
MeteorCat
2018-07-12 09:50:08 +08:00
专门建立个 ip_js.php 文件死循环,看谁耗的过谁
jyf
2018-07-12 10:00:29 +08:00
显然是想利用你的服务器做放大攻击 只不过他数据有误 以为你有那个服务而已
yamedie
2018-07-12 10:11:11 +08:00
@MeteorCat 怎么建死循环? 我没法确定对方是用浏览器发起的请求, 很大可能是通过工具, 或其他僵尸主机作为跳板 (对了, 我没记录访问者的 ip 地址, 先去加一下)
opengps
2018-07-12 10:12:13 +08:00
都是些自动寻找某个特点的机器发的
gamexg
2018-07-12 10:34:11 +08:00
302 跳转到超大文件。
joejhy
2018-07-12 10:49:10 +08:00
@yamedie, 我查了下这个 ip_js.php ,应该是一个 IP 查询地址的程序,可以参考比如 http://dl.pconline.com.cn/download/1619887.html

如果部署了这个程序,那么访问 /ip_js.php?IP=(此处是我主机 IP 地址)&DK=80&DD=NSNIAOUFMOMZJIBA 就可以访问信息,反之 404,对方估计是想探测哪些服务器使用了这个程序,猜测这个程序存在漏洞可以被利用,黑客可能是探测可攻击目标,至于为什么是你的机器 IP 可能就没有特殊含义,黑客应该是有一个 IP 列表,取列表中的 IP 去构造请求 URL,于是乎正好就用探测目标的 IP 作为要查询 IP 构造到扫描 URL 里,建议可以屏蔽掉扫描 IP
yamedie
2018-07-12 10:51:19 +08:00
@joejhy 感谢大神解惑!
ysc3839
2018-07-12 13:46:53 +08:00
也许可以试试 gzip 炸弹让对方程序崩溃?
hjdtl
2018-07-12 13:46:58 +08:00
我也有疑问,老是有人访问奇怪的文件,这是什么意思?
https://imgchr.com/i/PuHTqU
https://s1.ax1x.com/2018/07/12/PuHTqU.png
yamedie
2018-07-12 13:55:57 +08:00
@hjdtl 这种奇怪的 get 请求路径在我 log 里也有(如下), 我搞不懂他们是怎么请求的, 因为正常请求都应该是以 /开头的, 为何能访问我 80 端口并留下一个绝对路径的 get 请求... 我果然还是不懂 http 的一分一毫

http://proxyjudge.info/azenv.php
http://clientapi.ipip.net/echo.php?info=1234567890
http://180.163.113.82/check_proxy
http://46.161.9.31/echo.php
nu11001
2018-07-12 14:22:19 +08:00
@yamedie 这是检测 HTTP 代理的
zencoding
2018-07-12 14:30:34 +08:00
ban 掉
lolizeppelin
2018-07-12 14:33:40 +08:00
这就和你没 phpadmin 照样一堆 phpadmin 访问一个道理
Oceanhime
2018-07-12 20:16:22 +08:00
应该比较常见吧, 比如说 Windows 主机(无 SSH)经常被访问 22 端口爆破密码, 没有安装 Wordpress 还是被访问 wp-login.php 进行 wp 密码爆破一样, 但这个程序有些小众。其实和上面的例子是差不多的。

另外, 我看了一下刚刚 @joejhy #6 所附带的那个程序, 里面没有 $_GET 也没有出现 LZ 提到的 get 参数 'dk' 'ip' 等等, 应该不是这个程序。 (也有可能是老版本)
rooob1
2019-12-09 11:25:58 +08:00
WARNING:tornado.access:404 POST http://check.best-proxies.ru/azenv.php?s=1575823
96013531PC080452084100808 (85.119.151.250) 0.00ms
WARNING:tornado.access:404 CONNECT check.best-proxies.ru:80 (85.119.151.253) 0.0
0ms
WARNING:tornado.access:404 POST http://check.best-proxies.ru/azenv.php?s=1575838
39545603PC080452084100808 (109.234.153.134) 0.00ms
WARNING:tornado.access:404 CONNECT check.best-proxies.ru:80 (109.234.153.133) 0.
00ms
WARNING:tornado.access:404 GET http://clientapi.ipip.net/echo.php?info=123456789
0 (139.162.81.62) 0.00ms
WARNING:tornado.access:404 POST http://check.best-proxies.ru/azenv.php?s=1575852
82723436PC080452084100808 (109.234.153.132) 0.00ms
WARNING:tornado.access:404 CONNECT check.best-proxies.ru:80 (109.234.153.131) 0.
00ms

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/470094

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX