V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
NGINX
NGINX Trac
3rd Party Modules
Security Advisories
CHANGES
OpenResty
ngx_lua
Tengine
在线学习资源
NGINX 开发从入门到精通
NGINX Modules
ngx_echo
Zoozy
V2EX  ›  NGINX

求助,accesslog 中出现的未知请求

  •  
  •   Zoozy · 2014-04-17 10:18:14 +08:00 · 3977 次点击
    这是一个创建于 3869 天前的主题,其中的信息可能已经有所发展或是发生改变。
    最近几日 服务器上总是出现如下类似的请求

    58.220.2.141 - - [17/Apr/2014:10:12:24 +0800] "\x17\x03\x01\x00 " 400 166 "-" "-" "-" "0.030"
    58.220.2.141 - - [17/Apr/2014:10:12:24 +0800] "\x17\x03\x01\x01\x90/\xC0\x9A>SS\xAD[\xE8W\xACH\xF0\x82\xFD\xD9%x#\xF9\x81\xF5\xF2\xB5\xCBH\xB9\xFE_\xFC\x984\xB4\x05\x0E\x11\xBA8O\xF7k\x9C\x87y\xAE@\xB7\xA5LS\xBF\x14\x0F\x89\x5Cz\xC8\xD3\x1F\xB0\x1D\xB0OW\x8B\x95\xBC\xE0\x9D\xA3#\xFA\xCC\xD9q\x92\xCEH\xBBHK\xC9\x11\x93< \xAC(\xE0/)h\xE0\x09\xC1\x08\x80\x7F\xA8z\xC0\x1C\x8C\xB96\x93\x81\xF7c<|\xB14\xF6Z1\x8E8\xDAm\x12'\x1E%\x04?B\xD5,9\x15\xCE\xA8\xCE\x15\xB83\xFB\xAB3\xADR\x07\xAE N\x13eTiX\xD0^R\x8C\x0CjV\xD7m\xAF\xC5\xE0= \xBB#]\xE6y\xBB\xCC\x91f\x99\xA2\xB8\x00\x04\xE4\xAFS\x17\xB6\xC4\xF16\x08\xE7\xB8db+\xED\xDD\xD1\xD1C<\x9B3\xA6d\xAB\x08\xC4\x1B\xBAsG{s\xE0\x16\x0EV\xBF\xCE\xA6\xBCs\xF4\x9AQ9\x90\x05\xA2T\xE0\xF9_\x97\xFBm\xFD\x0C~\xE3\x85\xA7\xADq<*\xD5\xB5\x82\x9CXgAy\x83\x96\xDB\x1A*\xC0\xC9\xD7'.\xFD\xFES1\xF5;\x1C\xF0\x98\xE5\xF6\x05Wp\xED\xA9\xCFu\x8AZ{\xD1M\xFE\x19\xA4B\x02\x8F\x9B\x90\x11\x83~d_\xF3\xA2\xD7\x14\xB2\x0F\xD4\xE8\x90\xD7\x1A\xF8A\xD3\xB2\xE3\x84T\x12\xB2\xAD\x04\xB0]_\xA4\xF2t\xE8$\xF1\x9D\x1B\xB9\xEA\xEC\x8A)\xE58\xE4\x8D0\xCD=\x0B\x9E\xB87\xFB\x1B\xFB\xF3\xE7\x82\x92\x19\xC3\x99\xE7\x19R\x22\x06\xB8&\xB0'\xCA\x8E\x1B\x7F:\xDB\xF1\xC1r\xA1\xE5\x06[p \xC7a(\xB3#]^\xD8\xDE\x5C\xF6\xEA\x9D\x0EC\x18\xEE\xA4\x15\x03\x01\x00 \xFA\xFEvH\xD8\xBF+\x88\xC6Q\xEBa\xB1D\xDB.\x92\x92\x86\xA2\xDE\x80\x9A\x873\xC5\xF8bf\x9A\xAC\x8E" 400 166 "-" "-" "-" "0.074"
    58.220.2.141 - - [17/Apr/2014:10:12:24 +0800] "\x17\x03\x01\x00 [\x5C'\xF9xY\x82\x02_\xE0\x22\x9D\xC5\xF2O\x1A\x8E[\xEE\xFF\x9F\xBD\xA2\xDD\xE5\xEA\x89\xFE\xB6\xF2\xEB\x80" 400 166 "-" "-" "-" "0.036"
    58.220.2.141 - - [17/Apr/2014:10:12:24 +0800] "\x17\x03\x01\x01\x90qYuC\x00k\x99\xF6\xA7$ \x9C)\x13J\x84\xF3\xA3\x0F\x18\x22\xD93B\xE86\x04\xC9\xDB\x1EG^\xA7\x1D5\x9E0\x97\xCA\xDCFN.\xC2\x0C\xA8\xAB\xD6\xEC\x06\x97\xB0I\x91\xBA\xA0\xA9\xFBv*\xB1\xD9\xDB\xBF\x1A\xA4\xE8\xE7'YR#\xA0\xB1\xA5\xCD\xC1\x99\xBAb\xA8y\x0CT\xCB}\x80\xDD(wx|\xFB\xB1\xB6\x9B\xE5\x85\xFE\x8B\x14\xCAC\x9C\xF7\x91\xF3\x1C\xDF\xA0g\x04\xDA\x7F\x90\x1C\x89\x01\x1E\x86y\x85,*\x983Fm\x98d]\xB6\x1F\xF8\x06\xD7\xF8\xACy\xB5 \xA2\x0F\xFCBd9\x9E\x92A\xF7N\xCFC\xDF]_\x8D$\xA9\xFCh\xE3\x00ZL\xCC\x11\x0C\xEF\x08\xD4\x87#\xEB\x0F\x16\xF0\xE6_\xBE\xDAO\xE5\xA7\x82\xA95d\xCE\xB1\xCB\x13\xB4\x94m\x14\xA7\xC4\xE3\x0F\x91s|\xC8U\xA5\xB9\xE5\xC4\x5C\xC1a\x86\xF6\xF3rZ\xE8s\x0B\xD4\x96\xCE\xDDm\x81\xC7\xD5\xEE\xEA\xFD>A V\x12\xC0\x9D\x13\xDAY\xF9\xB6\xD4\x133Tg\x03\xD5\xF4T\xCA\x8E+}\xB6[\xEDP\xDBy\xA2i\xD0\xE1[\xAC\xB9\xC4=\xF90\xDA\xB6y\xB8\xFE\x9A\xF0#\x89\x5C\x96%\xD4m\xDB?$\xF2L1\x81\x7Ff\xAAP\xE4\xCE>\xFB\xE41\xEEs\xCC\x9B,\x16\xF1F\xF1%\xC8\xC1\xCA\xAA\xD5\xBA\x89\xD9<S\x8C\xD6\x1Fa\xF4\xF3Q\xDD1\x9F\x00x\x03" 400 166 "-" "-" "-" "0.032"
    58.220.2.141 - - [17/Apr/2014:10:12:24 +0800] "\x15\x03\x01\x00 \xFB\x16\xE7ix\x8C\x95m\xEB/\x0E!J\xF2\xE5.\xF5dc\xA3\x8F\x05" 400 166 "-" "-" "-" "0.031"

    来源IP也不固定

    网上也没搜索到什么可用的信息 求教各位这是什么情况...
    谢谢~


    log_format main '$remote_addr - $remote_user [$time_local] "$request" '
    '$status $body_bytes_sent "$http_referer" '
    '"$http_user_agent" "$http_x_forwarded_for" "$request_time"';
    5 条回复    1970-01-01 08:00:00 +08:00
    wwek
        1
    wwek  
       2014-04-17 11:00:11 +08:00
    这个是非正常请求
    http 状态 400
    不用鸟他
    Zoozy
        2
    Zoozy  
    OP
       2014-04-17 11:03:53 +08:00
    @wwek 这是一台私有API服务器 与其通信的都是我们自己的APP 我们自己肯定不会发起这样的请求 怀疑是恶意攻击之类的....
    wdlth
        3
    wdlth  
       2014-04-17 11:18:12 +08:00
    \x17\x03\x01\x00
    是TLSv1的头,估计是有人利用heartbleed漏洞攻击你吧。
    ysjdx
        4
    ysjdx  
       2014-04-17 11:21:24 +08:00
    攻击程序在做攻击探测吧。
    wwek
        5
    wwek  
       2014-04-17 11:35:37 +08:00
    嗯呢`. 这个肯定是人家探测你呢.
    只要你们没漏洞.就不用怕
    实在是不放心 用waf拦截了吧
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3149 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 21ms · UTC 13:47 · PVG 21:47 · LAX 05:47 · JFK 08:47
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.