V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
ZeroSimple
V2EX  ›  程序员

没什么人看的博客,恶意请求比正常请求多几百倍

  •  
  •   ZeroSimple · 2020-10-27 00:14:46 +08:00 via Android · 4393 次点击
    这是一个创建于 1487 天前的主题,其中的信息可能已经有所发展或是发生改变。
    博客的访问量,独立 IP 每天只有几十,但是恶意请求近千。
    不知道这些脚本小子是哪里来的博客列表,全都按照 WP 来攻击…实在搞不懂是什么情况…
    我这只是一个 GitHub Pages 的反代服务器…

    突然有一个想法,能不能把这些恶意请求跳转到广告链接,赚钱(
    求 V 友支招(万分感谢😅


    恶意请求例子如下:
    47.99.196.234 - - [26/Oct/2020:22:41:14 +0800] "HEAD /chen/login.php HTTP/1.1" 301 0 "-" "-"
    47.99.196.234 - - [26/Oct/2020:22:41:14 +0800] "HEAD /admin/login.php HTTP/1.1" 301 0 "-" "-"
    89.248.172.196 - - [26/Oct/2020:23:08:45 +0800] "\x03\x00\x00\x13\x0E\xE0\x00\x00\x00\x00\x00\x01\x00\x08\x00\x00\x00\x00\x00" 400 150 "-" "-"
    41.216.186.89 - - [26/Oct/2020:15:20:56 +0800] "\x03\x00\x00/*\xE0\x00\x00\x00\x00\x00Cookie: mstshash=Administr" 400 150 "-" "-"
    192.35.168.16 - - [26/Oct/2020:15:49:00 +0800] "GET / HTTP/1.1" 444 0 "-" "Mozilla/5.0 zgrab/0.x"
    95.0.30.16 - - [26/Oct/2020:15:55:29 +0800] "GET / HTTP/1.1" 301 162 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2743.116 Safari/537.36"
    45.146.164.159 - - [26/Oct/2020:16:11:12 +0800] "HEAD / HTTP/1.1" 444 0 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/74.0.3729.169 Safari/537.36"
    185.202.1.187 - - [26/Oct/2020:16:16:24 +0800] "\x12\x01\x00^\x00\x00\x01\x00\x00\x00$\x00\x06\x01\x00*\x00\x01\x02\x00+\x00\x01\x03\x00,\x00\x04\x04\x000\x00\x01\x05\x001\x00$\x06\x00U\x00\x01\xFF\x04\x07\x0C\xBC\x00\x00\x00\x00\x00\x00\x15\xD0\x00\x90\xF6\xC9zj\x00\x00\x008yL\xB5\xF7\x7F\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xFE\xFF\xFF\xFF\x01" 400 150 "-" "-"
    164.52.24.163 - - [26/Oct/2020:16:31:11 +0800] "\x16\x03\x01\x01\x22\x01\x00\x01\x1E\x03\x036\x9D\xBB\xE2n\xBDmV\xCB\xA5v3[\x8C\x94/;\xB4\xD8\xCD\xBD" 400 150 "-" "-"
    164.52.24.163 - - [26/Oct/2020:16:31:11 +0800] "\x16\x03\x01\x01\x22\x01\x00\x01\x1E\x03\x03\xB5\x00~7\xF4\x8A8\x8Eh\xCE\xFCR\x1B\xA1\xE2^\x9B\xA83 \xDC\xC9_\x0B]\xC3C&!\x88\x8C\xFE\x00\x00\x88\xC00\xC0,\xC0(\xC0$\xC0\x14\xC0" 400 150 "-" "-"
    164.52.24.163 - - [26/Oct/2020:16:31:11 +0800] "\x16\x03\x01\x00\xC6\x01\x00\x00\xC2\x03\x02'\xF1\xF6z%\xB0\x95\xF1]\x0C\xB8\xDF\x0E\xC4\x17\xB0\xFB\x14\x15\xA1\xCA_}c<YN\xFDO\xDB\x99\xEF\x00\x00P\xC0\x14\xC0" 400 150 "-" "-"
    103.100.208.29 - - [26/Oct/2020:12:09:24 +0800] "POST /ruyi.php HTTP/1.1" 301 162 "-" "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:60.0) Gecko/20100101 Firefox/60.0"
    103.100.208.29 - - [26/Oct/2020:12:09:24 +0800] "POST /51314.php HTTP/1.1" 301 162 "-" "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:60.0) Gecko/20100101 Firefox/60.0"
    22 条回复    2020-10-27 16:02:05 +08:00
    KasuganoSoras
        1
    KasuganoSoras  
       2020-10-27 00:26:40 +08:00
    看你这是被扫 RDP 了吧,把网站端口当成了远程桌面端口,这种没法跳转的
    如果是正常的 http 流量的话可以 Nginx 写规则 301 跳转到你的推广链接去
    if (!-e $request_filename) {
    return 301 http://你的推广链接 /;
    }
    hoyixi
        2
    hoyixi  
       2020-10-27 00:29:08 +08:00
    广告商又不是傻子,无效请求一多,广告商会以作弊刷流量的名义封你账号
    ZeroSimple
        3
    ZeroSimple  
    OP
       2020-10-27 00:40:09 +08:00 via Android
    @KasuganoSoras RDP 端口我没开,就开了 22, 443, 80 和一个大数字的端口…
    而且从日志里看,这些很多是针对 WordPress 的攻击(我这里贴出来的不明显,事实上大多数都在针对 WordPress…然而我这台机连 PHP 都没装)
    KasuganoSoras
        4
    KasuganoSoras  
       2020-10-27 00:45:14 +08:00
    @ZeroSimple #3 扫爆的人又不管你机器上装没装这个服务……只要有端口开着它就去扫,换各种协议去爆破
    还有就是楼上说的,无效请求多了直接封号,还是不要投机取巧了罢,我网站也一天到晚有这些流量,不去管它就行了,反正又不会影响你网站正常运作,基本的安全防护做好就行了,密码设置复杂点,相关软件定期更新
    ZeroSimple
        5
    ZeroSimple  
    OP
       2020-10-27 00:53:14 +08:00 via Android
    @KasuganoSoras 嗯好,谢了~
    ysc3839
        6
    ysc3839  
       2020-10-27 01:10:36 +08:00 via Android   ❤️ 1
    跳转到广告链接大概赚不了钱,对方又不是浏览器。
    不过可以考虑返回 gzip 炸弹之类的,对方的程序很可能会尝试解压,占用大量内存。
    DoctorCat
        7
    DoctorCat  
       2020-10-27 01:39:17 +08:00
    @ysc3839 写脚本的人不傻炸弹也不会好用,扫描脚本有设置 Respone 数据长度检测、timeout 的机制。再说你服务端 gzip 也耗费了 CPU 和带宽

    楼主需要了解一下互联网广告到底是怎么做计费的 。302 跳转能赚钱的话,广告联盟早破产了😂
    ysc3839
        8
    ysc3839  
       2020-10-27 02:00:45 +08:00 via Android   ❤️ 1
    @DoctorCat 估计你是没了解过 gzip 炸弹是什么,简单说就是把很长的空白数据经过压缩后能得到很短的数据。
    Content-Length 是 HTTP 协议传输的数据长度,不是实际解压后的长度,仅检测这个并不能知道长度。
    为什么一定要每次请求都压缩一次呢?不能压缩一次后把结果保存起来直接返回吗?
    当然,接收数据后再去检测 gzip 解压后长度也不是不行。至于写脚本的人傻不傻我不知道,但是可以猜测他们可能比较懒,不会自己去写 gzip 解压的代码,而是使用 HTTP 库本身的解压功能。
    DoctorCat
        9
    DoctorCat  
       2020-10-27 02:12:49 +08:00
    @ysc3839

    玩归玩闹归闹,别拿黑客开玩笑。blackhat 大会 2016 年就有分享了怎么反制 gzip bomb 了。
    举个 Py 例子:
    import zlib
    def decompress(data, maxsize=[ Response Body Size ]):
    dec = zlib.decompressobj()
    data = dec.decompress(data, maxsize)
    if dec.unconsumed_tail:
    raise ValueError("Possible bomb") del dec
    return data
    DoctorCat
        10
    DoctorCat  
       2020-10-27 02:16:12 +08:00
    nnd, 都串行了。 补充一句:关键是:扫描器是盲扫,被公网 N 多组织或个人无差别自动化 hacking… 你一个 Server 端吓不住机器代码的。
    xuanbg
        11
    xuanbg  
       2020-10-27 05:56:03 +08:00
    正常情况就是这样,脚本小子太多,不理他就行了。
    eason1874
        12
    eason1874  
       2020-10-27 06:18:49 +08:00
    自动扫描,按预设目标找漏洞的,来来去去都是那些路径,直接屏蔽就清净了。
    OldActorsSmile
        13
    OldActorsSmile  
       2020-10-27 09:25:10 +08:00
    楼主可以给它跳转到微软官方的 Windows10.ios 镜像的下载链接

    zarte
        14
    zarte  
       2020-10-27 10:01:25 +08:00
    曾经试过跳转到百度搜索连接,后来怕百度降权就取消了。
    shm7
        15
    shm7  
       2020-10-27 10:08:10 +08:00
    都是有故事的人,我就看看。
    annielong
        16
    annielong  
       2020-10-27 10:28:40 +08:00
    都是机器扫描,能想到的人家早就做了处理,哪怕返回脏数据后面也会有脚本迅速处理的。
    opengps
        17
    opengps  
       2020-10-27 11:01:39 +08:00 via Android
    都是机器人扫描,即使跳转到广告页面,也没法变现,这种机器人特征太明显了,被过滤了
    hundan
        18
    hundan  
       2020-10-27 14:20:30 +08:00 via iPhone
    谁家的服务器? 有些主机商会自动扫描漏洞
    janxin
        19
    janxin  
       2020-10-27 14:31:23 +08:00
    扫描吧
    AlghaPorthos
        20
    AlghaPorthos  
       2020-10-27 14:51:06 +08:00
    被扫不代表不安全。作为博客,本身没有数据泄露的问题(因为博文都是公开的)。如果攻击太多了影响正常使用了,禁止 IP 访问,域名套个 CF 就好了。
    myqoo
        21
    myqoo  
       2020-10-27 15:30:15 +08:00
    这压根就不是 HTTP 协议,估计人家都不会把你返回的结果当 HTTP 解析。
    shenlanAZ
        22
    shenlanAZ  
       2020-10-27 16:02:05 +08:00
    套个 cloudflare 把无效的浏览器屏蔽掉,再按地区把人类验证打开。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1092 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 30ms · UTC 18:50 · PVG 02:50 · LAX 10:50 · JFK 13:50
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.