这服务器日志正常么？

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

Recommended Services

Amazon Web Services

LeanCloud

New Relic

ClearDB

这是一个创建于 3054 天前的主题，其中的信息可能已经有所发展或是发生改变。

服务器禁止了 IP 直接访问，否则 404，但日志里总有这些奇怪的 GET、CONNECT，正常么？

193.219.125.234 - - [31/May/2017:17:08:43 +0800] "GET http://check2.zennolab.com/proxy.php HTTP/1.1" 404 162 "RefererString" "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:45.0) Gecko/20100101 Firefox/45.0" 38.89.136.143 - - [31/May/2017:17:10:51 +0800] "CONNECT aspmx.l.google.com:25 HTTP/1.0" 400 166 "-" "-" 38.89.136.143 - - [31/May/2017:17:10:51 +0800] "CONNECT aspmx.l.google.com:25 HTTP/1.0" 400 166 "-" "-" 38.89.136.143 - - [31/May/2017:17:10:55 +0800] "CONNECT aspmx.l.google.com:25 HTTP/1.0" 400 166 "-" "-" 46.161.9.48 - - [31/May/2017:17:17:38 +0800] "GET /pp/anp.php?a=UUQHWSHYCMCJDVW&b=1155&c=cfd0&i=4 HTTP/1.1" 404 162 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:26.1) Gecko/20100101 Firefox/26.0" 113.57.46.173 - - [31/May/2017:17:17:43 +0800] "GET http://httpbin.org/get HTTP/1.1" 404 162 "-" "Mozilla/5.0 (X11; Linux i686; U;) Gecko/20070322 Kazehakase/0.4.5" 125.93.83.102 - - [31/May/2017:17:18:14 +0800] "GET http://m.search.yahoo.com/ HTTP/1.1" 404 564 "http://m.search.yahoo.com/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" 115.29.250.31 - - [31/May/2017:17:20:06 +0800] "GET http://apps.bdimg.com/libs/js-url/1.7.5/js-url.min.js HTTP/1.1" 404 162 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) MSIE11" 54.222.197.111 - - [31/May/2017:17:20:27 +0800] "GET http://www.51job.com/ HTTP/1.1" 404 564 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.112 Safari/537.36" 183.62.230.118 - - [31/May/2017:17:25:43 +0800] "GET http://sz.lianjia.com HTTP/1.1" 404 162 "-" "-" 104.236.51.114 - - [31/May/2017:17:28:04 +0800] "GET http://mirror.kingproxies.com/?ip=104.236.51.114&proxy=115.159.191.249&starttime=1496222882548 HTTP/1.1" 404 162 "-" "bot" 183.66.25.149 - - [31/May/2017:17:32:57 +0800] "GET http://m.search.yahoo.com/ HTTP/1.1" 404 564 "http://m.search.yahoo.com/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" 46.161.9.48 - - [31/May/2017:17:33:28 +0800] "GET /pp/anp.php?a=UUQHWSHYCMCJDVW&b=1155&c=cfd0&i=4 HTTP/1.1" 404 162 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:26.1) Gecko/20100101 Firefox/26.0" 120.132.3.151 - - [31/May/2017:17:35:30 +0800] "\x04\x01\x00PpTi4\x00" 400 166 "-" "-" 120.132.3.151 - - [31/May/2017:17:35:30 +0800] "GET http://www.qq.com/404/search_children.js HTTP/1.1" 404 564 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/35.0.1916.114 Safari/537.36" 188.163.86.99 - - [31/May/2017:17:38:12 +0800] "GET http://chek.zennolab.com/proxy.php HTTP/1.1" 404 162 "RefererString" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:21.0) Gecko/20100101 Firefox/21.0" 188.163.86.99 - - [31/May/2017:17:38:23 +0800] "\x04\x01\x00P[y9D\x00" 400 166 "-" "-" 178.163.94.238 - - [31/May/2017:17:42:11 +0800] "GET http://chekfast.zennolab.com/proxy.php HTTP/1.1" 404 162 "RefererString" "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:45.0) Gecko/20100101 Firefox/45.0" 193.124.64.25 - - [31/May/2017:17:51:25 +0800] "GET http://chekfast.zennolab.com/proxy.php HTTP/1.1" 404 162 "RefererString" "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:45.0) Gecko/20100101 Firefox/45.0" 188.235.139.196 - - [31/May/2017:17:52:41 +0800] "GET http://chekfast.zennolab.com/proxy.php HTTP/1.1" 404 162 "RefererString" "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:45.0) Gecko/20100101 Firefox/45.0" 213.111.233.25 - - [31/May/2017:17:53:35 +0800] "\x05\x01\x00" 400 166 "-" "-"

15 条回复 2017-06-01 16:26:48 +08:00

XiaoxiaoPu

2017-05-31 18:11:10 +08:00

判断你是不是代理，是的话就放到代理池里

DoraJDJ

2017-05-31 18:16:21 +08:00

被扫 HTTP 代理了

fzleee

2017-05-31 18:33:52 +08:00

遇到这种请求，可以考虑重定向到国外的某些知名网站

huaxing0211

2017-05-31 19:26:47 +08:00

@fzleee 我搞个 301 去试试！

huaxing0211

2017-05-31 19:29:17 +08:00

@fzleee 就这样了！
server_name _; #判断是 IP 访问
return 301 http://www.163.com$request_uri; #301 重定向

Devmingwang

2017-05-31 22:07:53 +08:00 via Android

如果你的服务器是在国外，那么请你直接屏蔽掉 windows nt6.1 这个标识的 UA，或者是直接返回一个含有代码的网页让浏览器直接 dump，因为部分 GFW 模拟用户访问看站点是否存在敏感内容的也是这个 UA。

580a388da131

2017-05-31 23:48:47 +08:00

@Devmingwang 这不是把 win7 都屏蔽了？

NoAnyLove

2017-06-01 03:45:21 +08:00

我以前的做法是，用 fail2ban，如果 5 分钟内同一个 IP 出现 5 次 404 或者 403，就 Ban 10 分钟。用重定向有啥好处？

shiji

2017-06-01 04:27:01 +08:00

@NoAnyLove 你这个策略如果是论坛，博客什么的，，就比较危险了。。。

NoAnyLove

2017-06-01 08:06:33 +08:00

@shiji 个人博客，访问量小。能具体说一下为什么比较危险吗？

agostop

2017-06-01 08:16:23 +08:00

@NoAnyLove
5 分钟 5 次……
我刷 v2ex，1 分钟不都不止 5 次

shiji

2017-06-01 09:09:11 +08:00

@NoAnyLove 论坛的话，可以构造几个 404 或者 403 作为图片插入。然后所有到这个页面的访客就都被屏蔽 5 分钟了。。博客取决于别人能不能编辑或者评论区能不能插入图片。

NoAnyLove

2017-06-01 10:05:45 +08:00

@agostop 呃，正常情况下一般不会出现 404 才对啊，除非是之前失效的链接。只有 bot 猜路径才会出现高频率的 404 吧

NoAnyLove

2017-06-01 10:09:35 +08:00

@shiji 你是说，比如服务器 server 是 www.example.com，然后在发的帖子或者回复中，构造多个不存在的图片链接，比如 www.example.com/foo.png，其他用户访问时会自动加载，就造成了多个 404 请求？

想一想好像还真有这种可能呢。其实博客的评论如果没有过滤 img 和其他元素，也有可能出现这种情况

那怎么样处理比较好？

QQ2171775959

2017-06-01 16:26:48 +08:00

你这个日志好长哦。。具体的处理解决方法楼上面都有很多的。