V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
Hardrain
V2EX  ›  问与答

奇怪的日志内容

  •  
  •   Hardrain · 2017-07-30 10:59:06 +08:00 · 1423 次点击
    这是一个创建于 2710 天前的主题,其中的信息可能已经有所发展或是发生改变。

    最近几天 HTTP 服务器的日志里出现了一些奇怪的请求 METHOD 都是 HEAD,请求的都是根目录下的、名称包含中文的、实际不存在(返回 HTTP 404)的压缩文件

    比如

    2002:b612:869::b612:869 - - [28/Jul/2017:06:16:09 +0000]
    Request:"HEAD /\xd0\xc2\xbd\xa8%20WinRAR%20\xd1\xb9\xcb\xf5\xce\xc4\xbc\xfe.rar HTTP/1.1"
    Scheme:http 301 Sent:224 Bytes
    Referer:"-"
    UA:"Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0)"
    
    182.18.8.105 - - [28/Jul/2017:06:16:09 +0000]
    Request:"HEAD /%d0%c2%bd%a8%20WinRAR%20%d1%b9%cb%f5%ce%c4%bc%fe.rar HTTP/1.1"
    Scheme:https 404 Sent:677 Bytes
    Referer:"-"
    UA:"Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0)"
    
    2002:b612:869::b612:869 - - [28/Jul/2017:06:16:10 +0000]
    Request:"HEAD /\xb8\xb4\xbc\xfe%20websoft.zip HTTP/1.1"
    Scheme:http 301 Sent:198 Bytes
    Referer:"-"
    UA:"Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0)"
    
    182.18.8.105 - - [28/Jul/2017:06:16:10 +0000]
    Request:"HEAD /%b8%b4%bc%fe%20websoft.zip HTTP/1.1"
    Scheme:https 404 Sent:677 Bytes
    Referer:"-"
    UA:"Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0)"
    
    2002:b612:869::b612:869 - - [28/Jul/2017:06:16:11 +0000]
    Request:"HEAD /\xb8\xb4\xbc\xfe%20website.rar HTTP/1.1"
    Scheme:http 301 Sent:198 Bytes
    Referer:"-"
    UA:"Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0)"
    
    182.18.8.105 - - [28/Jul/2017:06:16:11 +0000]
    Request:"HEAD /%b8%b4%bc%fe%20website.rar HTTP/1.1"
    Scheme:https 404 Sent:677 Bytes
    Referer:"-"
    UA:"Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0)"
    
    2002:b612:869::b612:869 - - [28/Jul/2017:06:16:12 +0000]
    Request:"HEAD /\xb8\xb4\xbc\xfe%20web.zip HTTP/1.1"
    Scheme:http 301 Sent:194 Bytes
    Referer:"-"
    UA:"Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0)"
    
    182.18.8.105 - - [28/Jul/2017:06:16:12 +0000]
    Request:"HEAD /%b8%b4%bc%fe%20web.zip HTTP/1.1"
    Scheme:https 404 Sent:677 Bytes
    Referer:"-"
    UA:"Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0)"
    

    Google 了一下 Request 里的路径,只找到一条有效结果 https://www.wormclassroom.org/vhosts/TRASH/imagej.net/awstats/awstats032016.imagej.net.txt 这网站用的还是个无效的证书.

    8 条回复    2017-08-01 13:48:55 +08:00
    torbrowserbridge
        1
    torbrowserbridge  
       2017-07-30 11:09:01 +08:00 via Android
    嗅探用的吧
    torbrowserbridge
        2
    torbrowserbridge  
       2017-07-30 11:10:35 +08:00 via Android   ❤️ 2
    有些人喜欢把网站整体打包备份在网站访问路径下,这些嗅探工具可以嗅探到下载下来。然后就可以干坏事了。
    xzem
        3
    xzem  
       2017-07-30 11:38:04 +08:00 via Android
    楼上,正解。
    flynaj
        4
    flynaj  
       2017-07-31 09:50:08 +08:00 via Android
    就是扫描你的文件存在就下载,HEAD 是降低你的服务器压力,方便扫描
    Hardrain
        5
    Hardrain  
    OP
       2017-08-01 11:12:04 +08:00
    @torbrowserbridge 可我觉得 作为一个 Wordpress(PHP+MySQL)站

    比起站点文件的备份
    他会对.sql 文件更感兴趣吧……

    不过这个理解的确挺合理的.
    Hardrain
        6
    Hardrain  
    OP
       2017-08-01 11:12:29 +08:00
    @flynaj 看到 20x 不是 4xx 就 GET 了?
    flynaj
        7
    flynaj  
       2017-08-01 11:33:51 +08:00 via Android
    @Hardrain
    机器扫描就是这样,确实是 20x 就 get,都是无脑扫
    torbrowserbridge
        8
    torbrowserbridge  
       2017-08-01 13:48:55 +08:00
    @flynaj 不是为了降低你的服务器压力,是为了更快的获得结果。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1016 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 22:08 · PVG 06:08 · LAX 14:08 · JFK 17:08
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.