Nginx-Zugriffsprotokoll: GET zc.qq.com?

7

Ich habe folgenden Eintrag in meinem access.log gefunden 

115.231.222.40 - - [02/Oct/2015:07:57:11] "GET http://zc.qq.com/cgi-bin/common/attr?id=260714&r=0.8936631410048374 HTTP/1.1" 302 160 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; 360SE)"

Was bedeutet das? Muss ich mir sorgen machen

nginx web-server fips123
quelle

Antworten:

6

Es sieht aus wie ein Spambot, der versucht, eine ungültige Anfrage zu senden oder möglicherweise festzustellen, ob Ihr Server falsch konfiguriert ist, um Proxy zuzulassen.

Müssen Sie sich Sorgen machen? Ich finde es etwas seltsam, dass ein 302Statuscode zurückgegeben wird, wie in 302 Found, ich würde erwarten, dass eine solche Anfrage eine generiert 404 Not Found, oder vielleicht 400 Bad Requestoder 403 Forbidden, aber im Allgemeinen sollten diese Arten von Anfragen bei richtig konfigurierten modernen Servern keine großen Sorgen machen.

(In Ihrer Situation würde ich vermuten, dass ein 302 zurückgegeben wird, weil Sie 404 Seiten auf eine einzelne "nicht gefundene" Seite umleiten? Wenn ja, dann müssen Sie sich um die Benutzerfreundlichkeit Ihrer Website sorgen, denn das ist Dies ist keine gute Vorgehensweise, da der Benutzer keine Möglichkeit hat, eine falsch eingegebene URL leicht zu korrigieren, da sie nur in Luft aufsteigt und er kaum eine Ahnung hat, was falsch ist.)

cnst
quelle
Ich habe eine Weiterleitung von http zu https, deshalb habe ich die 302
fips123
@ fips123, das ist auch keine gute Idee. Dies bedeutet, dass Personen, die nicht über https oder eine ausreichend neue TLS-Version verfügen, Ihre Website nicht anzeigen können. Dies ist insbesondere für alle Websites nicht sinnvoll, auf denen alle Informationen auf der Website öffentlich sind. Eine obligatorische Verschlüsselung ist einfach nicht sinnvoll.
cnst
1
Die Site ist ein Webmail-Login. Jeder, der darauf zugreifen sollte, kann es tun. es ist also nicht öffentlich.
fips123
3

Ich sehe das gleiche auf einem lokalen Server. Die ursprüngliche IP wird als wahrscheinlich Bot auf einem chinesischen ISP aufgeführt. Es ist wahrscheinlich Teil eines automatisierten Scans für einen DDOS-Verstärkungsangriff gegen qq.com, einen chinesischen Web-Mail-Anbieter. Gemessen an der URL gibt es wahrscheinlich einen bekannten Exploit (der die CPU-Zeit bindet?) Gegen die Installation des Webservers.

Viele "wahrscheinliche" Gründe, sollten Sie sich Sorgen machen? - Nein, aber stellen Sie sicher, dass Sie die Anforderung nicht an die eigentliche Zieldomäne weiterleiten.

Andrew
quelle
-1

Ich habe diese Anfragen mehrere Monate lang täglich alle paar Stunden an meinen Apache-Server gesendet, wobei jedes Mal eine andere ID angegeben wurde. Berichte an die aufgeführten Domänenmissbrauchsabteilungen für die Quell-IP 115.230.124.164 und zc.qq.com schlagen ständig fehl.

Ich habe eine Umschreiberegel implementiert, die alle Treffer von der IP zurück an sich selbst sendet.

Keith Harris
quelle