Странные 404 запроса URL
Я выполняю nodejs сервер со специальной платформой. Я использую Keymetrics.io для отслеживания состояние моего приложения.
Я отслеживал 500 и 404 ошибки и отправлял их Keymetrics, и эти 404 ошибки показывают что-то странное, которое я не видел прежде, я надеюсь, что кто-то может разрешить, каково это точно.
В основном я продолжаю получать эти запросы сообщения URL каждые 2-3 минуты:
- /V9vc4AAAA/JU70M/cUPBuAAA/
- /QLId/1Mv30AAAA/lPVraBAAA/
- /V9vc4AAAA/JU70M/cUPBuAAA/
- /85V/xCAA/LamkyCA/3lMmCAAAAAA/
- /BXiuX/AuNt/B/bjX/
- /3GUYKAAAAAA/8xjakDAA/LnBQqDA/
- /85V/xCAA/LamkyCA/3lMmCAAAAAA/
- /Cbeo8A/DsZuoAA/BF3Zj/
- /3GUYKAAAAAA/8xjakDAA/LnBQqDA/
- /QLId/1Mv30AAAA/lPVraBAAA/
Очевидно, мой сервер указывает на них на 404 страницы, но кто-либо знает, каково это? действительно ли это - бот? я должен знать о некоторой уязвимости?
Некоторые примеры заголовка запросов
{ accept: '*/*',
'user-agent': 'Mozilla/5.0 (Windows; U; MSIE 7.0; Windows NT 6.0; en-US)',
host: '109.235.76.136:8080',
'content-length': '701',
connection: 'Keep-Alive',
'cache-control': 'no-cache',
cookie: 'vacwatch=s%3Am_Rj28ASGR2gLNOoZT385QxXJTaPuGAp.7g89Wz41URpTiJSxQ8R8UaQgMRPUl94NNjruqluZR40' }
{ accept: '*/*',
'user-agent': 'Mozilla/5.0 (Windows; U; MSIE 7.0; Windows NT 6.0; en-US)',
host: '109.235.76.136:8080',
'content-length': '677',
connection: 'Keep-Alive',
'cache-control': 'no-cache',
cookie: 'vacwatch=s%3AfdU50VdWoHd3jSmbbGKt4IXUTWvauxa4.OpRmN39XUis7sDkJrRtn83Uw%2FSo5VyJ1fZRcXT7HWH8' }
править: Запросы прибывают от нескольких другой IP
Вау. Так что да. Я выяснил, почему эти URL-адреса продолжают появляться в моем журнале 404.
Сегодня я заметил ошибку в моем журнале исключений: письмо было отклонено и не доставлено.Поэтому я проверяю точные сведения об этой ошибке, почему письмо не может быть доставлено: 550 Это сообщение было классифицировано как СПАМ и не может быть доставлено
Поэтому я проверяю в Интернете средство проверки черного списка, чтобы узнать, откуда я получил в черный список и почему. И я получил только один результат, говорящий, что я внесен в черный список SPAMHAUS.
Я захожу на тот сайт и сдам свой домен на проверку, да и вообще. Это подтверждает, что я нахожусь в их «Списке блокировки Spamhaus»
. Я нажимаю на свою запись, чтобы получить дополнительные сведения о блоке, и вот что я вижу:
The host at this IP address is most likely compromised and
running a malicious HTTP daemon (nginx) on port 8080 (TCP)
which is being used by cybercriminals to control computers
infected with a Trojan called Feodo.
Feodo botnet controller located here:
http://109.235.76.136:8080/QrdO/fknypBAAAAA/PHmnSCAAAAA/
Feodo is a sophisticated banking Trojan, used to commit
ebanking fraud. More information about this Trojan can be
found here: http://blog.fireeye.com/research/2010/10/feodosoff-a-new-botnet-on-the-rise.html
To get this issue solved, you need to locate and identify
the malicious nginx daemon on the compromised server
(likely located in a hidden directoy in the /tmp/ directory)
and remove it completely. To avoid that the server gets hacked again, please ensure that you change all SSH credentials (passwords) and that all installed software is up to date (including OS).
More information how you can secure your SSH daemon
can be found here: http://www.spamhaus.org/faq/section/Generic%20Questions#362
Я запутался, у меня не запущен nginx, поэтому я проверяю дату записи и указано 2013-11-14 18:39:31 GMT . Похоже, предыдущий владелец этого IP был заражен этим ботнетом. Что в основном продолжает рассылать эти странные запросы на публикацию URL.