Seltsame Bittorrent-Anmeldung auf meinem Server

11

Ich weiß nicht, ob das folgende Protokoll damit zu tun hat, dass meine Website irgendwann nicht mehr verfügbar ist. Ich habe viele Websites auf meinem Server und sie haben keine Protokolle wie die folgenden:

117.169.1.85 - - [03/Jan/2015:23:21:37 +0800] "GET /announce.php?info_hash=%D0%A2M%CE%13%21H%D4%11%0C%8C%27%22%C83%B4%A3l%92%15&peer_id=%2DSD0100%2D%C50%95xmh%9B%13%7C%D42%F7&ip=39.178.24.33&port=14940&uploaded=3893629&downloaded=3893629&left=1369695469&numwant=200&key=1490&compact=1 HTTP/1.1" 404 162 "-" "Bittorrent"
115.231.228.252 - - [03/Jan/2015:23:21:37 +0800] "GET /announce.php?info_hash=%DE%82%BC%CFBmH%29e%FD%25%ED6b%F2%2DX%EE%BE%21&peer_id=%2DSD0100%2D%BF3%DAG%83%1F%DAGnV%E3%C8&ip=118.134.134.210&port=13567&uploaded=675282944&downloaded=675282944&left=80740352&numwant=200&key=7916&compact=1 HTTP/1.0" 404 162 "-" "Bittorrent"
115.231.228.252 - - [03/Jan/2015:23:21:37 +0800] "GET /announce?info_hash=%DE%82%BC%CFBmH%29e%FD%25%ED6b%F2%2DX%EE%BE%21&peer_id=%2DSD0100%2D%BF3%DAG%83%1F%DAGnV%E3%C8&ip=118.134.134.210&port=13567&uploaded=675282944&downloaded=675282944&left=80740352&numwant=200&key=16205&compact=1 HTTP/1.0" 404 20283 "-" "Bittorrent"
123.123.126.154 - - [03/Jan/2015:23:21:37 +0800] "GET /announce.php?info_hash=%AA%21U%8F%7F%BA%DC%8F%D2%A5%B5A%7B%26t%F7%2A%FF%1E%8C&peer_id=%2DSD0100%2D%91%11%E7%11G%7B%8C%EB%14Y%2B%26&ip=123.123.126.154&port=12070&uploaded=129742857&downloaded=129742857&left=85310&numwant=200&key=11590&compact=1 HTTP/1.0" 404 162 "-" "Bittorrent"
114.86.129.8 - - [03/Jan/2015:23:21:37 +0800] "GET /announce.php?info_hash=%9A%90s%DCK%29%93%05%FE%BA%E6%D3%7D%03%12%25l%B0%B8k&peer_id=%2DSD0100%2D%20%80%3FRw%E5%0E%3D%3F%2F%B1%0F&ip=114.86.129.8&port=17767&uploaded=240822656&downloaded=240822656&left=480772096&numwant=200&key=5792&compact=1 HTTP/1.0" 404 162 "-" "Bittorrent"
222.161.198.228 - - [03/Jan/2015:23:21:38 +0800] "GET /announce.php?info_hash=f%F7x%23%A6w%96%955%E6T%09%3Br%DD%A5%F3%3D%A4%05&peer_id=%2DSD0100%2Dp%83%F6%00%E9%04B4%28%E5%F4%F8&ip=192.168.1.102&port=11274&uploaded=444858368&downloaded=444858368&left=181403648&numwant=200&key=17766&compact=1 HTTP/1.0" 404 162 "-" "Bittorrent"
117.140.8.11 - - [03/Jan/2015:23:21:38 +0800] "GET /announce?info_hash=%C7Jr%2F%E4%DF9%ECk%BA%88%94%7B%FF%8Ad%102%FA%5B&peer_id=%2DSD0100%2D%F6%F1%A1%A6%C9%01%DC%17%DC%AA%5D%19&ip=19.34.33.71&port=16456&uploaded=60373348&downloaded=60373348&left=1712431046&numwant=200&key=31414&compact=1 HTTP/1.0" 499 0 "-" "Bittorrent"
60.242.213.36 - - [03/Jan/2015:23:21:38 +0800] "GET /announce?info_hash=%B3%DA%8D%13%F9n%5D%E3%00%F0f%19%8Fb%BA%FEgg%22%40&peer_id=%2DSD0100%2D%0F%F9%DC%2D%E3%A5%DB%CF%FE%09%AB%3C&ip=60.242.213.36&port=19859&uploaded=85983232&downloaded=85983232&left=1676673024&numwant=200&key=1997&compact=1 HTTP/1.0" 404 20283 "-" "Bittorrent"
61.183.79.192 - - [03/Jan/2015:23:21:38 +0800] "GET /announce?info_hash=%B3%DA%8D%13%F9n%5D%E3%00%F0f%19%8Fb%BA%FEgg%22%40&peer_id=%2DSD0100%2D%2D%A6%EF%F4%FCoe%C5%CB%A2%F8%15&ip=192.168.2.101&port=11136&uploaded=4194304&downloaded=4194304&left=1237319680&numwant=200&key=10639&compact=1 HTTP/1.0" 499 0 "-" "Bittorrent"
114.105.43.47 - - [03/Jan/2015:23:21:38 +0800] "GET /announce.php?info_hash=%B6%92n%10%AF%8F%8C%E7%7B1%F9%94%D9%1B%FB%2F%9F%E5%CF%13&peer_id=%2DSD0100%2D%B9N%C5%283%14%D0%C5%E7%96k%91&ip=114.105.43.47&port=13462&uploaded=1021732276&downloaded=1021732276&left=6291456&numwant=200&key=6618&compact=1 HTTP/1.0" 404 162 "-" "Bittorrent"
117.9.47.219 - - [03/Jan/2015:23:21:38 +0800] "GET /announce.php?info_hash=%A5u0%B1%BCC%05%CB%D0%97Ez%D6GX%1B%9E%D7%8C9&peer_id=%2DSD0100%2D%BD%2A%5E%D1%0E%ADZ%13%E0%1C%5F%1B&ip=117.9.47.219&port=14181&uploaded=787046358&downloaded=787046358&left=545&numwant=200&key=25770&compact=1 HTTP/1.0" 404 162 "-" "Bittorrent"

Ich habe versucht, diese Art von Protokoll zu durchsuchen, aber es gibt so wenig Informationen darüber.

Ich installiere keine Bittorrent-Apps auf meinem Server und frage mich, warum sich mein Server anscheinend wie ein Tracker verhält.

Kann mir bitte jemand helfen, warum ich diese Art von Protokoll habe?

Jaypabs
quelle

Antworten:

15

Es sieht nicht nach etwas aus, über das man sich Sorgen machen muss. Bittorrent-Tracker sind nur normale HTTP-Server.

Ihr Server sendet 404 Fehler - auf Ihrem Server befindet sich kein Tracker.

Wahrscheinlich wurde Ihre IP-Adresse irgendwann in der Vergangenheit als Tracker verwendet oder jemand anderes hat seinen Client oder seine Tracker-DNS falsch konfiguriert.

Gewähren
quelle
Eigentlich sieht es so aus, als ob hier etwas Größeres im Spiel sein könnte. Ich erhalte die gleichen Anfragen auf 4 (mir bekannten) nicht verwandten Servern. Ich habe eine Frage zum Blockieren dieser Anforderungen über mod_security gestellt, in der meine Ergebnisse zum Thema serverfault.com/questions/656093/… erläutert werden. Es sieht aus wie eine DNS-Cache-Vergiftung durch einen chinesischen ISP.
Cha0s
@ Cha0s Ich denke du hast recht. Bisher scheint mein Server aus diesem Grund manchmal eine Ausfallzeit zu haben. Da ich nginx verwende, denke ich nicht, dass mod_security die Antwort auf mein Problem ist. Können Sie eine Lösung empfehlen?
Jaypabs
@jaypabs Ich erwähnte meine Frage, um meine Ergebnisse zu zeigen, dass diese Anfragen nicht nur ein Fehler im DNS sind oder dass die IP in der Vergangenheit als Torrent-Tracker verwendet wurde. Ich persönlich habe China mit Iptables blockiert. Selbst mit mod_security waren die Verbindungen so zahlreich, dass sie die Verbindungen von Apache füllen würden. Ich habe keine spezielle Lösung für Nginx.
Cha0s
@ Cha0s Darf ich den Befehl kennen, mit dem Sie ihn mit iptables blockieren?
Jaypabs
@ jaypabs Ich verwende CSF / LFD, mit dem ganze Länder durch CC blockiert werden können. configserver.com/cp/csf.html
Cha0s
0

Es könnte sich um eine Art DDoS-Angriff handeln. Fügen Sie dies dem .htaccess Ihrer Site hinzu, um sie zu blockieren.

RewriteEngine On
RewriteCond% {HTTP_USER_AGENT} ^ Bittorrent [NC]
RewriteRule ^ http://bittorrent.com [R, L]

Steve
quelle
2
Wenn es ein DDOS-Angriff wäre, würde dies nicht helfen. Ihr Server sendet eine 302-Antwort anstelle von 404, wobei ungefähr derselbe Datenverkehr verwendet wird - plus jetzt die CPU-Auslastung der Verarbeitungsumleitungen. Zumindest sollte es eine 301-Weiterleitung senden, so dass sich gut erzogene Clients als dauerhaft betrachten. Und wenn es sich um einen DDOS-Angriff handelt, werden die Besitzer von bittorrent.com wahrscheinlich nicht allzu glücklich sein, dass Sie ihn an sie weitergeben ...
Grant