我的网络服务器出现异常流量,要求访问 myinfo.any-request-allowed.com

Rya*_*ler 1 security linux apache-2.2

在 debian 服务器上运行 apache,我开始监视日志,并发现了一些奇怪的事件。有谁知道这个 any-request-allowed.com 站点试图做什么......以及我如何阻止这种潜在的恶意流量?

消毒日志:

[46.161.11.245] - [13/Apr/2011:13:02:09 -0700] | api.goolertech.com "POST http://myinfo.any-request-allowed.com/?strGet=get2566 HTTP/1.1" 404 294 | -
[46.161.11.245] - [15/Apr/2011:13:02:53 -0700] | api.goolertech.com "POST http://myinfo.any-request-allowed.com/?strGet=get8888 HTTP/1.1" 404 294 | -
[46.161.11.245] - [17/Apr/2011:13:05:04 -0700] | api.goolertech.com "POST http://myinfo.any-request-allowed.com/?strGet=get9659 HTTP/1.1" 404 294 | -
Run Code Online (Sandbox Code Playgroud)

其中 404 是错误代码,294 是响应的大小。

编辑:

做了一个数据包捕获,这是我得到的请求:

POST http://myinfo.any-request-allowed.com/?strGet=get2566 HTTP/1.1
Host: myinfo.any-request-allowed.com
Pragma: no-cache
Accept: */*
Proxy-Connection: Keep-Alive
Cookie: strCookie=cookie2566
Content-Length: 16
Content-Type: application/x-www-form-urlencoded

strPost=post2566
Run Code Online (Sandbox Code Playgroud)

Sma*_*ger 5

这看起来像互联网背景噪音。狡猾或受感染的主机可能是对开放式 Web 服务器进行端口扫描,然后对其进行测试以查看它们是否会将 a 中继POST到第 3 方站点。您的服务器自然会对请求进行 404 处理。它可能不是针对您的,而且很有可能很快就会停止。

也就是说,这种流量的时间非常规律,所以如果它没有停止,请求的来源是46.161.11.245。如果您阻止任何内容,请在防火墙处阻止该主机。(通过 iptables)