在 Heroku 托管站点上遇到一些间歇性 5xx 错误后,我只是在查看我们的日志,在那里我发现了许多来自 localhost 的错误,这些错误是对隐藏文件的请求,通常是 .env 以及诸如“.well”之类的东西-known/assetlinks.json”,偶尔在不存在的子文件夹中包含 .env。
请求不频繁(每天 15 - 30 个),但似乎已经持续了一周。他们还遇到了“规则禁止访问”,据我所知是 nginx。
该请求类似于:
2020/09/28 14:37:44 [错误] 160#0:*1928 规则禁止访问,客户端:10.45.153.152,服务器:localhost,请求:“GET /.env HTTP/1.1”,主机:REMOVED
我服务器上没有任何 ENV 文件,而且 nginx 似乎阻止了请求,所以感觉没有任何危害。重新启动所有 dynos 似乎已经终止了活动(基于已经过去了几个小时),但让我担心的是这些似乎是“来自房子内部”。这里有什么值得我关注的吗?这是一个机器人利用具有本地访问权限的系统中的错误的案例吗?