V2EX = way to explore

V2EX 是一个关于分享和探索的地方

For Existing Member Sign In

Recommended Services

Amazon Web Services

LeanCloud

New Relic

ClearDB

这服务器日志正常么？

handwork May 31, 2017 5200 views

This topic created in 3255 days ago, the information mentioned may be changed or developed.

服务器禁止了 IP 直接访问，否则 404，但日志里总有这些奇怪的 GET、CONNECT，正常么？

193.219.125.234 - - [31/May/2017:17:08:43 +0800] "GET http://check2.zennolab.com/proxy.php HTTP/1.1" 404 162 "RefererString" "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:45.0) Gecko/20100101 Firefox/45.0" 38.89.136.143 - - [31/May/2017:17:10:51 +0800] "CONNECT aspmx.l.google.com:25 HTTP/1.0" 400 166 "-" "-" 38.89.136.143 - - [31/May/2017:17:10:51 +0800] "CONNECT aspmx.l.google.com:25 HTTP/1.0" 400 166 "-" "-" 38.89.136.143 - - [31/May/2017:17:10:55 +0800] "CONNECT aspmx.l.google.com:25 HTTP/1.0" 400 166 "-" "-" 46.161.9.48 - - [31/May/2017:17:17:38 +0800] "GET /pp/anp.php?a=UUQHWSHYCMCJDVW&b=1155&c=cfd0&i=4 HTTP/1.1" 404 162 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:26.1) Gecko/20100101 Firefox/26.0" 113.57.46.173 - - [31/May/2017:17:17:43 +0800] "GET http://httpbin.org/get HTTP/1.1" 404 162 "-" "Mozilla/5.0 (X11; Linux i686; U;) Gecko/20070322 Kazehakase/0.4.5" 125.93.83.102 - - [31/May/2017:17:18:14 +0800] "GET http://m.search.yahoo.com/ HTTP/1.1" 404 564 "http://m.search.yahoo.com/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" 115.29.250.31 - - [31/May/2017:17:20:06 +0800] "GET http://apps.bdimg.com/libs/js-url/1.7.5/js-url.min.js HTTP/1.1" 404 162 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) MSIE11" 54.222.197.111 - - [31/May/2017:17:20:27 +0800] "GET http://www.51job.com/ HTTP/1.1" 404 564 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.112 Safari/537.36" 183.62.230.118 - - [31/May/2017:17:25:43 +0800] "GET http://sz.lianjia.com HTTP/1.1" 404 162 "-" "-" 104.236.51.114 - - [31/May/2017:17:28:04 +0800] "GET http://mirror.kingproxies.com/?ip=104.236.51.114&proxy=115.159.191.249&starttime=1496222882548 HTTP/1.1" 404 162 "-" "bot" 183.66.25.149 - - [31/May/2017:17:32:57 +0800] "GET http://m.search.yahoo.com/ HTTP/1.1" 404 564 "http://m.search.yahoo.com/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" 46.161.9.48 - - [31/May/2017:17:33:28 +0800] "GET /pp/anp.php?a=UUQHWSHYCMCJDVW&b=1155&c=cfd0&i=4 HTTP/1.1" 404 162 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:26.1) Gecko/20100101 Firefox/26.0" 120.132.3.151 - - [31/May/2017:17:35:30 +0800] "\x04\x01\x00PpTi4\x00" 400 166 "-" "-" 120.132.3.151 - - [31/May/2017:17:35:30 +0800] "GET http://www.qq.com/404/search_children.js HTTP/1.1" 404 564 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/35.0.1916.114 Safari/537.36" 188.163.86.99 - - [31/May/2017:17:38:12 +0800] "GET http://chek.zennolab.com/proxy.php HTTP/1.1" 404 162 "RefererString" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:21.0) Gecko/20100101 Firefox/21.0" 188.163.86.99 - - [31/May/2017:17:38:23 +0800] "\x04\x01\x00P[y9D\x00" 400 166 "-" "-" 178.163.94.238 - - [31/May/2017:17:42:11 +0800] "GET http://chekfast.zennolab.com/proxy.php HTTP/1.1" 404 162 "RefererString" "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:45.0) Gecko/20100101 Firefox/45.0" 193.124.64.25 - - [31/May/2017:17:51:25 +0800] "GET http://chekfast.zennolab.com/proxy.php HTTP/1.1" 404 162 "RefererString" "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:45.0) Gecko/20100101 Firefox/45.0" 188.235.139.196 - - [31/May/2017:17:52:41 +0800] "GET http://chekfast.zennolab.com/proxy.php HTTP/1.1" 404 162 "RefererString" "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:45.0) Gecko/20100101 Firefox/45.0" 213.111.233.25 - - [31/May/2017:17:53:35 +0800] "\x05\x01\x00" 400 166 "-" "-"

15 replies 2017-06-01 16:26:48 +08:00

XiaoxiaoPu

May 31, 2017

判断你是不是代理，是的话就放到代理池里

DoraJDJ

May 31, 2017

被扫 HTTP 代理了

fzleee

May 31, 2017

遇到这种请求，可以考虑重定向到国外的某些知名网站

handwork

May 31, 2017

@fzleee 我搞个 301 去试试！

handwork

May 31, 2017

@fzleee 就这样了！
server_name _; #判断是 IP 访问
return 301 http://www.163.com$request_uri; #301 重定向

Devmingwang

May 31, 2017 via Android

如果你的服务器是在国外，那么请你直接屏蔽掉 windows nt6.1 这个标识的 UA，或者是直接返回一个含有代码的网页让浏览器直接 dump，因为部分 GFW 模拟用户访问看站点是否存在敏感内容的也是这个 UA。

580a388da131

May 31, 2017

@Devmingwang 这不是把 win7 都屏蔽了？

NoAnyLove

Jun 1, 2017

我以前的做法是，用 fail2ban，如果 5 分钟内同一个 IP 出现 5 次 404 或者 403，就 Ban 10 分钟。用重定向有啥好处？

shiji

Jun 1, 2017

@NoAnyLove 你这个策略如果是论坛，博客什么的，，就比较危险了。。。

NoAnyLove

Jun 1, 2017

@shiji 个人博客，访问量小。能具体说一下为什么比较危险吗？

agostop

Jun 1, 2017

@NoAnyLove
5 分钟 5 次……
我刷 v2ex，1 分钟不都不止 5 次

shiji

Jun 1, 2017

@NoAnyLove 论坛的话，可以构造几个 404 或者 403 作为图片插入。然后所有到这个页面的访客就都被屏蔽 5 分钟了。。博客取决于别人能不能编辑或者评论区能不能插入图片。

NoAnyLove

Jun 1, 2017

@agostop 呃，正常情况下一般不会出现 404 才对啊，除非是之前失效的链接。只有 bot 猜路径才会出现高频率的 404 吧

NoAnyLove

Jun 1, 2017

@shiji 你是说，比如服务器 server 是 www.example.com，然后在发的帖子或者回复中，构造多个不存在的图片链接，比如 www.example.com/foo.png，其他用户访问时会自动加载，就造成了多个 404 请求？

想一想好像还真有这种可能呢。其实博客的评论如果没有过滤 img 和其他元素，也有可能出现这种情况

那怎么样处理比较好？

QQ2171775959

Jun 1, 2017

你这个日志好长哦。。具体的处理解决方法楼上面都有很多的。