V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Recommended Services
Amazon Web Services
LeanCloud
New Relic
ClearDB
yamedie
V2EX  ›  云计算

有人频繁试探云主机的 ip_js. PHP 是什么操作?

  •  
  •   yamedie · 2018-07-12 09:44:08 +08:00 · 6579 次点击
    这是一个创建于 2353 天前的主题,其中的信息可能已经有所发展或是发生改变。

    用之前 360 元薅的企鹅云 cvm 搭了一个域名缩短服务, 开放 80 端口, 发现日志里有很多奇怪的请求, 如下:

    /ip_js.php?IP=(此处是我主机 IP 地址)&DK=80&DD=NSNIAOUFMOMZJIBA
    /ip_js.php?IP=(此处是我主机 IP 地址)&DK=80&DD=ASNIAOUFMOMZJIBD
    /ip_js.php?IP=(此处是我主机 IP 地址)&DK=80&DD=ASNIAOUFMOMZJIBD
    /ip_js.php?IP=(此处是我主机 IP 地址)&DK=80&DD=ASNIAOUFMOMZJIBD
    /ip_js.php?IP=(此处是我主机 IP 地址)&DK=80&DD=ASNIAOUFMOMZJIBD
    /ip_js.php?IP=(此处是我主机 IP 地址)&DK=80&DD=ASNIAOUFMOMZJIBD
    /ip_js.php?IP=(此处是我主机 IP 地址)&DK=80&DD=ASNIAOUFMOMZJIBD
    /ip_js.php?IP=(此处是我主机 IP 地址)&DK=80&DD=NSNIAOUFMOMZJIBA
    /ip_js.php?IP=(此处是我主机 IP 地址)&DK=80&DD=NSNIAOUFMOMZJIBA
    /ip_js.php?IP=(此处是我主机 IP 地址)&DK=80&DD=NSNIAOUFMOMZJIBA
    /ip_js.php?IP=(此处是我主机 IP 地址)&DK=80&DD=ASNIAOUFMOMZJIBD
    /ip_js.php?IP=(此处是我主机 IP 地址)&DK=80&DD=NSNIAOUFMOMZJIBA
    

    根本不存在这个 php, 为何还在频繁试探请求? DD=后面跟的是穷举密码吗? 为何还总是那几个在重复? 实在想不通, 网上搜索 ip_js.php 也没有结果

    已经针对含有".php?"的请求, response 返回一句问候的话了, 还是不停, 不想上 fail2ban, 让他请求去吧..后续考虑给他上 301 永久重定向

    15 条回复    2019-12-09 11:25:58 +08:00
    MeteorCat
        1
    MeteorCat  
       2018-07-12 09:50:08 +08:00 via Android
    专门建立个 ip_js.php 文件死循环,看谁耗的过谁
    jyf
        2
    jyf  
       2018-07-12 10:00:29 +08:00
    显然是想利用你的服务器做放大攻击 只不过他数据有误 以为你有那个服务而已
    yamedie
        3
    yamedie  
    OP
       2018-07-12 10:11:11 +08:00
    @MeteorCat 怎么建死循环? 我没法确定对方是用浏览器发起的请求, 很大可能是通过工具, 或其他僵尸主机作为跳板 (对了, 我没记录访问者的 ip 地址, 先去加一下)
    opengps
        4
    opengps  
       2018-07-12 10:12:13 +08:00 via Android
    都是些自动寻找某个特点的机器发的
    gamexg
        5
    gamexg  
       2018-07-12 10:34:11 +08:00
    302 跳转到超大文件。
    joejhy
        6
    joejhy  
       2018-07-12 10:49:10 +08:00 via iPhone   ❤️ 1
    @yamedie, 我查了下这个 ip_js.php ,应该是一个 IP 查询地址的程序,可以参考比如 http://dl.pconline.com.cn/download/1619887.html

    如果部署了这个程序,那么访问 /ip_js.php?IP=(此处是我主机 IP 地址)&DK=80&DD=NSNIAOUFMOMZJIBA 就可以访问信息,反之 404,对方估计是想探测哪些服务器使用了这个程序,猜测这个程序存在漏洞可以被利用,黑客可能是探测可攻击目标,至于为什么是你的机器 IP 可能就没有特殊含义,黑客应该是有一个 IP 列表,取列表中的 IP 去构造请求 URL,于是乎正好就用探测目标的 IP 作为要查询 IP 构造到扫描 URL 里,建议可以屏蔽掉扫描 IP
    yamedie
        7
    yamedie  
    OP
       2018-07-12 10:51:19 +08:00
    @joejhy 感谢大神解惑!
    ysc3839
        8
    ysc3839  
       2018-07-12 13:46:53 +08:00 via Android
    也许可以试试 gzip 炸弹让对方程序崩溃?
    hjdtl
        9
    hjdtl  
       2018-07-12 13:46:58 +08:00
    我也有疑问,老是有人访问奇怪的文件,这是什么意思?
    https://imgchr.com/i/PuHTqU
    https://s1.ax1x.com/2018/07/12/PuHTqU.png
    yamedie
        10
    yamedie  
    OP
       2018-07-12 13:55:57 +08:00
    @hjdtl 这种奇怪的 get 请求路径在我 log 里也有(如下), 我搞不懂他们是怎么请求的, 因为正常请求都应该是以 /开头的, 为何能访问我 80 端口并留下一个绝对路径的 get 请求... 我果然还是不懂 http 的一分一毫

    http://proxyjudge.info/azenv.php
    http://clientapi.ipip.net/echo.php?info=1234567890
    http://180.163.113.82/check_proxy
    http://46.161.9.31/echo.php
    nu11001
        11
    nu11001  
       2018-07-12 14:22:19 +08:00
    @yamedie 这是检测 HTTP 代理的
    zencoding
        12
    zencoding  
       2018-07-12 14:30:34 +08:00
    ban 掉
    lolizeppelin
        13
    lolizeppelin  
       2018-07-12 14:33:40 +08:00 via Android
    这就和你没 phpadmin 照样一堆 phpadmin 访问一个道理
    Oceanhime
        14
    Oceanhime  
       2018-07-12 20:16:22 +08:00
    应该比较常见吧, 比如说 Windows 主机(无 SSH)经常被访问 22 端口爆破密码, 没有安装 Wordpress 还是被访问 wp-login.php 进行 wp 密码爆破一样, 但这个程序有些小众。其实和上面的例子是差不多的。

    另外, 我看了一下刚刚 @joejhy #6 所附带的那个程序, 里面没有 $_GET 也没有出现 LZ 提到的 get 参数 'dk' 'ip' 等等, 应该不是这个程序。 (也有可能是老版本)
    rooob1
        15
    rooob1  
       2019-12-09 11:25:58 +08:00
    WARNING:tornado.access:404 POST http://check.best-proxies.ru/azenv.php?s=1575823
    96013531PC080452084100808 (85.119.151.250) 0.00ms
    WARNING:tornado.access:404 CONNECT check.best-proxies.ru:80 (85.119.151.253) 0.0
    0ms
    WARNING:tornado.access:404 POST http://check.best-proxies.ru/azenv.php?s=1575838
    39545603PC080452084100808 (109.234.153.134) 0.00ms
    WARNING:tornado.access:404 CONNECT check.best-proxies.ru:80 (109.234.153.133) 0.
    00ms
    WARNING:tornado.access:404 GET http://clientapi.ipip.net/echo.php?info=123456789
    0 (139.162.81.62) 0.00ms
    WARNING:tornado.access:404 POST http://check.best-proxies.ru/azenv.php?s=1575852
    82723436PC080452084100808 (109.234.153.132) 0.00ms
    WARNING:tornado.access:404 CONNECT check.best-proxies.ru:80 (109.234.153.131) 0.
    00ms
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3412 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 74ms · UTC 10:30 · PVG 18:30 · LAX 02:30 · JFK 05:30
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.