V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
ericgui
V2EX  ›  程序员

这个日志的意思是有人在黑我吗?

  •  
  •   ericgui · 2017-09-14 11:07:08 +08:00 · 8415 次点击
    这是一个创建于 2629 天前的主题,其中的信息可能已经有所发展或是发生改变。
    这是有人在黑我吗?

    139.99.104.209 - - [14/Sep/2017:10:57:30 +0800] "GET //myadmin/scripts/setup.php HTTP/1.1" 301 185 "-" "-" "-"
    139.99.104.209 - - [14/Sep/2017:10:57:31 +0800] "GET //MyAdmin/scripts/setup.php HTTP/1.1" 301 185 "-" "-" "-"
    139.99.104.209 - - [14/Sep/2017:11:00:35 +0800] "GET /muieblackcat HTTP/1.1" 301 185 "-" "-" "-"
    139.99.104.209 - - [14/Sep/2017:11:00:37 +0800] "GET //phpMyAdmin/scripts/setup.php HTTP/1.1" 301 185 "-" "-" "-"
    139.99.104.209 - - [14/Sep/2017:11:00:38 +0800] "GET //phpmyadmin/scripts/setup.php HTTP/1.1" 301 185 "-" "-" "-"
    139.99.104.209 - - [14/Sep/2017:11:00:39 +0800] "GET //pma/scripts/setup.php HTTP/1.1" 301 185 "-" "-" "-"
    139.99.104.209 - - [14/Sep/2017:11:00:40 +0800] "GET //myadmin/scripts/setup.php HTTP/1.1" 301 185 "-" "-" "-"
    139.99.104.209 - - [14/Sep/2017:11:00:41 +0800] "GET //MyAdmin/scripts/setup.php HTTP/1.1" 301 185 "-" "-" "-"


    正在调试微信支付,涉及到钱了,所以是不是有人在扫描我的服务器?

    ping 了一下这个 IP,300 多 ms,显然是境外的服务器
    33 条回复    2017-09-14 23:26:47 +08:00
    Lisp
        1
    Lisp  
       2017-09-14 11:10:29 +08:00
    正常 IP 段扫描,不是单单针对你
    xenme
        2
    xenme  
       2017-09-14 11:12:28 +08:00
    批量扫而已
    ericgui
        3
    ericgui  
    OP
       2017-09-14 11:12:50 +08:00
    @Lisp 嗯,我也能猜到应该是扫描,但扫描之后,如果有漏洞,他就来搞破坏了吧?反正这种扫描肯定是居心不良,对吧
    leekafai
        4
    leekafai  
       2017-09-14 11:30:07 +08:00 via Android
    你要这么想,我也没办法
    ericgui
        5
    ericgui  
    OP
       2017-09-14 11:38:39 +08:00
    @leekafai 小弟不懂,害怕,请大佬理解
    234747005
        6
    234747005  
       2017-09-14 11:42:47 +08:00
    你要是纠结这个原因,你就没完没了了,互联网上总有很多 robot 行为
    WeaPoon
        7
    WeaPoon  
       2017-09-14 11:46:12 +08:00
    每时每刻都有这样的扫描,做好防护措施.
    扫描的目的肯定是想做坏事就是.
    ysicing
        8
    ysicing  
       2017-09-14 11:48:27 +08:00
    你能怎么办,ban ip 呗。对于这种的只有这种方法
    lafirel
        9
    lafirel  
       2017-09-14 11:50:36 +08:00
    一开始我就 iptables+fail2ban 各种写规则和这些作斗争,乐此不疲
    不过过一阵就没啥意思也懒得弄了,随它去吧
    evlos
        10
    evlos  
       2017-09-14 11:51:06 +08:00
    你用的是阿里云的话,阿里云会扫你然后给你推销云盾安骑士
    121121121
        11
    121121121  
       2017-09-14 11:52:50 +08:00
    phpmyadmin 都敢用?
    siguretto
        12
    siguretto  
       2017-09-14 11:54:45 +08:00
    公司里有个新员工写了微信小程序的支付接口,但是没做某些安全处理,还没上线,功能开发完第二天就被搞了。
    很好奇为什么暴露得这么快
    mhtt
        13
    mhtt  
       2017-09-14 12:09:33 +08:00
    @121121121 请说出你的故事
    NoAnyLove
        14
    NoAnyLove  
       2017-09-14 12:24:45 +08:00
    很常见的批量扫描,如果扫描出了问题才会黑你。如果很在意的话,直接用 fail2ban 屏蔽掉就行,以前 WordPress 的 xmlrpc 漏洞的时候,我的 VPS 直接被扫描得监控显示无响应了。
    winglight2016
        15
    winglight2016  
       2017-09-14 12:38:30 +08:00   ❤️ 1
    @siguretto 没做完就上生产环境?
    zwgmlr3
        16
    zwgmlr3  
       2017-09-14 13:08:18 +08:00 via Android
    @siguretto 代码推到 github 上了?
    codeyung
        17
    codeyung  
       2017-09-14 13:10:22 +08:00
    都是批量的 - -
    nicevar
        18
    nicevar  
       2017-09-14 13:28:23 +08:00
    不一定是人,都是自动化的工具扫描的
    Phariel
        19
    Phariel  
       2017-09-14 13:32:15 +08:00 via Android
    这是日常批量扫 稍安勿躁
    ericgui
        20
    ericgui  
    OP
       2017-09-14 13:37:47 +08:00
    @121121121 我没用 phpmyadmin 啊
    siguretto
        21
    siguretto  
       2017-09-14 14:16:40 +08:00
    @winglight2016 直接放测试环境了,因为证书问题和别的功能有回调接口

    @zwgmlr3 没有放 github,放的是 coding 的私有仓库

    上面说错了,不是微信支付,是微信企业付款的接口。
    本地数据库没做锁表,测试环境接口也没加密没上 ssl,被人并发访问提现接口,提了点钱。
    对方手段也挺专业的,查日志没发现大面积扫描,n 个帐号同一代理地址。
    问题是,怎么做到第二天就发现我使用了微信的提现呢,感觉像是被内部卖掉了数据一样。
    cxbig
        22
    cxbig  
       2017-09-14 14:27:21 +08:00
    自动化工具或脚本批量扫描而已,我们的项目加了一堆类似的黑名单了。
    可以优化一下你的 nginx 配置,用 php 只允许经由 index.php 的访问,其他 try_files 直接=404
    ericgui
        23
    ericgui  
    OP
       2017-09-14 14:36:18 +08:00
    @cxbig 嗯,有道理,谢谢,我去试试
    7654
        24
    7654  
       2017-09-14 14:37:00 +08:00
    @evlos #10 有很多阿里云的机器来扫我的美西 VPS,用 Nmap。。。
    多么没性价比的操作
    pynix
        25
    pynix  
       2017-09-14 14:47:37 +08:00
    只要是公网 ip,你躲不掉的。。。
    aksoft
        26
    aksoft  
       2017-09-14 15:16:13 +08:00
    不被扫的不是好服务器
    gclove
        27
    gclove  
       2017-09-14 15:39:48 +08:00
    被扫很正常啊, 连阿里云自己都去扫你
    不扫怎么知道你有没有问题, 安全公司都会扫的
    aliao0019
        28
    aliao0019  
       2017-09-14 15:59:43 +08:00
    @121121121 只是扫的人猜他在用
    ipconfiger
        29
    ipconfiger  
       2017-09-14 16:25:25 +08:00
    自动化扫, 别装这些无实包经的东西就没得危险得
    yzmm
        30
    yzmm  
       2017-09-14 17:00:14 +08:00
    有人在全球范围内扫描吧,我的国外的 VPS 也记录了大量的请求。

    155.4.167.190 - - [10/Sep/2017:12:58:14 +0000] "HEAD http://xx.xx.xx.xx:80/sql/phpmyadmin2/ HTTP/1.1" 404 0 "-" "Mozilla/5.0 Jorgee" "-"
    155.4.167.190 - - [10/Sep/2017:12:58:14 +0000] "HEAD http://xx.xx.xx.xx:80/sql/phpMyAdmin2/ HTTP/1.1" 404 0 "-" "Mozilla/5.0 Jorgee" "-"
    155.4.167.190 - - [10/Sep/2017:12:58:14 +0000] "HEAD http://xx.xx.xx.xx:80/sql/phpMyAdmin/ HTTP/1.1" 404 0 "-" "Mozilla/5.0 Jorgee" "-"
    155.4.167.190 - - [10/Sep/2017:12:58:15 +0000] "HEAD http://xx.xx.xx.xx:80/db/myadmin/ HTTP/1.1" 404 0 "-" "Mozilla/5.0 Jorgee" "-"
    155.4.167.190 - - [10/Sep/2017:12:58:15 +0000] "HEAD http://xx.xx.xx.xx:80/db/webadmin/ HTTP/1.1" 404 0 "-" "Mozilla/5.0 Jorgee" "-"
    155.4.167.190 - - [10/Sep/2017:12:58:15 +0000] "HEAD http://xx.xx.xx.xx:80/db/dbweb/ HTTP/1.1" 404 0 "-" "Mozilla/5.0 Jorgee" "-"
    155.4.167.190 - - [10/Sep/2017:12:58:16 +0000] "HEAD http://xx.xx.xx.xx:80/db/websql/ HTTP/1.1" 404 0 "-" "Mozilla/5.0 Jorgee" "-"
    155.4.167.190 - - [10/Sep/2017:12:58:16 +0000] "HEAD http://xx.xx.xx.xx:80/db/webdb/ HTTP/1.1" 404 0 "-" "Mozilla/5.0 Jorgee" "-"
    155.4.167.190 - - [10/Sep/2017:12:58:16 +0000] "HEAD http://xx.xx.xx.xx:80/db/dbadmin/ HTTP/1.1" 404 0 "-" "Mozilla/5.0 Jorgee" "-"
    155.4.167.190 - - [10/Sep/2017:12:58:17 +0000] "HEAD http://xx.xx.xx.xx:80/db/db-admin/ HTTP/1.1" 404 0 "-" "Mozilla/5.0 Jorgee" "-"
    155.4.167.190 - - [10/Sep/2017:12:58:17 +0000] "HEAD http://xx.xx.xx.xx:80/db/phpmyadmin3/ HTTP/1.1" 404 0 "-" "Mozilla/5.0 Jorgee" "-"
    155.4.167.190 - - [10/Sep/2017:12:58:17 +0000] "HEAD http://xx.xx.xx.xx:80/db/phpMyAdmin3/ HTTP/1.1" 404 0 "-" "Mozilla/5.0 Jorgee" "-"
    155.4.167.190 - - [10/Sep/2017:12:58:17 +0000] "HEAD http://xx.xx.xx.xx:80/db/phpMyAdmin-3/ HTTP/1.1" 404 0 "-" "Mozilla/5.0 Jorgee" "-"
    kltt22
        31
    kltt22  
       2017-09-14 18:41:36 +08:00
    @siguretto 支付的最好查啊,看看付给谁了,不就知道了
    AlwaysBee
        32
    AlwaysBee  
       2017-09-14 23:00:56 +08:00
    @121121121 同问,phpmyadmin 有什么问题?
    isCyan
        33
    isCyan  
       2017-09-14 23:26:47 +08:00
    躲不掉的,自己系统别留漏洞就好,注意点安全,我都被扫惯了。
    再有,怎么那么多人看 pma 不顺眼?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5410 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 35ms · UTC 05:56 · PVG 13:56 · LAX 21:56 · JFK 00:56
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.