这些“坏机器人”是如何找到我关闭的网络服务器的？

Question

我不久前安装了 Apache，快速查看我的 access.log 显示各种未知 IP 正在连接，主要是状态代码 403、404、400、408。我不知道他们是如何找到的我的 IP，因为我只将它用于个人用途，并添加了一个 robots.txt 希望它能让搜索引擎远离。我阻止了索引，但没有什么真正重要的。

这些机器人（或人）如何找到服务器？发生这种情况很常见吗？这些连接是否危险/我能做些什么？

此外，许多 IP 来自各种国家，并且不解析主机名。

下面是一堆发生的事情的例子：

在一次大扫荡中，这个机器人试图找到 phpmyadmin：

"GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 403 243 "-" "ZmEu"
"GET /3rdparty/phpMyAdmin/scripts/setup.php HTTP/1.1" 404 235 "-" "ZmEu"
"GET /admin/mysql/scripts/setup.php HTTP/1.1" 404 227 "-" "ZmEu"
"GET /admin/phpmyadmin/scripts/setup.php HTTP/1.1" 404 232 "-" "ZmEu"

我得到了很多这些：

"HEAD / HTTP/1.0" 403 - "-" "-"

很多“proxyheader.php”，我在 GET 中收到了很多带有 http:// 链接的请求

"GET http://www.tosunmail.com/proxyheader.php HTTP/1.1" 404 213 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"

“连接”

"CONNECT 213.92.8.7:31204 HTTP/1.0" 403 - "-" "-"

“soapCaller.bs”

"GET /user/soapCaller.bs HTTP/1.1" 404 216 "-" "Morfeus Fucking Scanner"

这真的是粗略的十六进制废话..

"\xad\r<\xc8\xda\\\x17Y\xc0@\xd7J\x8f\xf9\xb9\xc6x\ru#<\xea\x1ex\xdc\xb0\xfa\x0c7f("400 226 "-" "-"

空的

"-" 408 - "-" "-"

这只是它的要点。我得到了各种各样的垃圾，即使使用 win95 用户代理也是如此。

谢谢。

Answer 1

欢迎来到互联网:)

• 他们是如何找到你的：很有可能是强力 IP 扫描。就像他们发现主机上的漏洞扫描流一样。
• 防止将来发生：虽然并非完全可以避免，但您可以禁止安全工具，例如 Apache 上的 Fail2Ban 或速率限制 - 或手动禁止 - 或设置 ACL
• 在公共端口上响应的任何外部可访问硬件上看到这一点是很常见的
• 只有在主机上有未打补丁的软件版本可能容易受到攻击时，这才是危险的。这些只是盲目的尝试，看看您是否有任何“酷”的东西可供这些脚本小子摆弄。把它想象成有人在停车场走来走去，试图查看车门是否被解锁，确保你的车门被解锁，而且他很可能会让你的车门一个人呆着。