这服务器日志正常么?

2017-05-31 18:05:54 +08:00
 huaxing0211

服务器禁止了 IP 直接访问,否则 404,但日志里总有这些奇怪的 GET、CONNECT,正常么?

193.219.125.234 - - [31/May/2017:17:08:43 +0800] "GET http://check2.zennolab.com/proxy.php HTTP/1.1" 404 162 "RefererString" "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:45.0) Gecko/20100101 Firefox/45.0"
38.89.136.143 - - [31/May/2017:17:10:51 +0800] "CONNECT aspmx.l.google.com:25 HTTP/1.0" 400 166 "-" "-"
38.89.136.143 - - [31/May/2017:17:10:51 +0800] "CONNECT aspmx.l.google.com:25 HTTP/1.0" 400 166 "-" "-"
38.89.136.143 - - [31/May/2017:17:10:55 +0800] "CONNECT aspmx.l.google.com:25 HTTP/1.0" 400 166 "-" "-"
46.161.9.48 - - [31/May/2017:17:17:38 +0800] "GET /pp/anp.php?a=UUQHWSHYCMCJDVW&b=1155&c=cfd0&i=4 HTTP/1.1" 404 162 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:26.1) Gecko/20100101 Firefox/26.0"
113.57.46.173 - - [31/May/2017:17:17:43 +0800] "GET http://httpbin.org/get HTTP/1.1" 404 162 "-" "Mozilla/5.0 (X11; Linux i686; U;) Gecko/20070322 Kazehakase/0.4.5"
125.93.83.102 - - [31/May/2017:17:18:14 +0800] "GET http://m.search.yahoo.com/ HTTP/1.1" 404 564 "http://m.search.yahoo.com/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
115.29.250.31 - - [31/May/2017:17:20:06 +0800] "GET http://apps.bdimg.com/libs/js-url/1.7.5/js-url.min.js HTTP/1.1" 404 162 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) MSIE11"
54.222.197.111 - - [31/May/2017:17:20:27 +0800] "GET http://www.51job.com/ HTTP/1.1" 404 564 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.112 Safari/537.36"
183.62.230.118 - - [31/May/2017:17:25:43 +0800] "GET http://sz.lianjia.com HTTP/1.1" 404 162 "-" "-"
104.236.51.114 - - [31/May/2017:17:28:04 +0800] "GET http://mirror.kingproxies.com/?ip=104.236.51.114&proxy=115.159.191.249&starttime=1496222882548 HTTP/1.1" 404 162 "-" "bot"
183.66.25.149 - - [31/May/2017:17:32:57 +0800] "GET http://m.search.yahoo.com/ HTTP/1.1" 404 564 "http://m.search.yahoo.com/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
46.161.9.48 - - [31/May/2017:17:33:28 +0800] "GET /pp/anp.php?a=UUQHWSHYCMCJDVW&b=1155&c=cfd0&i=4 HTTP/1.1" 404 162 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:26.1) Gecko/20100101 Firefox/26.0"
120.132.3.151 - - [31/May/2017:17:35:30 +0800] "\x04\x01\x00PpTi4\x00" 400 166 "-" "-"
120.132.3.151 - - [31/May/2017:17:35:30 +0800] "GET http://www.qq.com/404/search_children.js HTTP/1.1" 404 564 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/35.0.1916.114 Safari/537.36"
188.163.86.99 - - [31/May/2017:17:38:12 +0800] "GET http://chek.zennolab.com/proxy.php HTTP/1.1" 404 162 "RefererString" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:21.0) Gecko/20100101 Firefox/21.0"
188.163.86.99 - - [31/May/2017:17:38:23 +0800] "\x04\x01\x00P[y9D\x00" 400 166 "-" "-"
178.163.94.238 - - [31/May/2017:17:42:11 +0800] "GET http://chekfast.zennolab.com/proxy.php HTTP/1.1" 404 162 "RefererString" "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:45.0) Gecko/20100101 Firefox/45.0"
193.124.64.25 - - [31/May/2017:17:51:25 +0800] "GET http://chekfast.zennolab.com/proxy.php HTTP/1.1" 404 162 "RefererString" "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:45.0) Gecko/20100101 Firefox/45.0"
188.235.139.196 - - [31/May/2017:17:52:41 +0800] "GET http://chekfast.zennolab.com/proxy.php HTTP/1.1" 404 162 "RefererString" "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:45.0) Gecko/20100101 Firefox/45.0"
213.111.233.25 - - [31/May/2017:17:53:35 +0800] "\x05\x01\x00" 400 166 "-" "-"
4504 次点击
所在节点    云计算
15 条回复
XiaoxiaoPu
2017-05-31 18:11:10 +08:00
判断你是不是代理,是的话就放到代理池里
DoraJDJ
2017-05-31 18:16:21 +08:00
被扫 HTTP 代理了
fzleee
2017-05-31 18:33:52 +08:00
遇到这种请求,可以考虑重定向到国外的某些知名网站
huaxing0211
2017-05-31 19:26:47 +08:00
@fzleee 我搞个 301 去试试 !
huaxing0211
2017-05-31 19:29:17 +08:00
@fzleee 就这样了!
server_name _; #判断是 IP 访问
return 301 http://www.163.com$request_uri; #301 重定向
Devmingwang
2017-05-31 22:07:53 +08:00
如果你的服务器是在国外,那么请你直接屏蔽掉 windows nt6.1 这个标识的 UA,或者是直接返回一个含有代码的网页让浏览器直接 dump,因为部分 GFW 模拟用户访问看站点是否存在敏感内容的也是这个 UA。
580a388da131
2017-05-31 23:48:47 +08:00
@Devmingwang 这不是把 win7 都屏蔽了?
NoAnyLove
2017-06-01 03:45:21 +08:00
我以前的做法是,用 fail2ban,如果 5 分钟内同一个 IP 出现 5 次 404 或者 403,就 Ban 10 分钟。用重定向有啥好处?
shiji
2017-06-01 04:27:01 +08:00
@NoAnyLove 你这个策略如果是论坛,博客什么的,,就比较危险了。。。
NoAnyLove
2017-06-01 08:06:33 +08:00
@shiji 个人博客,访问量小。能具体说一下为什么比较危险吗?
agostop
2017-06-01 08:16:23 +08:00
@NoAnyLove
5 分钟 5 次……
我刷 v2ex,1 分钟不都不止 5 次
shiji
2017-06-01 09:09:11 +08:00
@NoAnyLove 论坛的话, 可以构造几个 404 或者 403 作为图片插入。然后所有到这个页面的访客就都被屏蔽 5 分钟了。。 博客取决于别人能不能编辑或者评论区能不能插入图片。
NoAnyLove
2017-06-01 10:05:45 +08:00
@agostop 呃,正常情况下一般不会出现 404 才对啊,除非是之前失效的链接。只有 bot 猜路径才会出现高频率的 404 吧
NoAnyLove
2017-06-01 10:09:35 +08:00
@shiji 你是说,比如服务器 server 是 www.example.com,然后在发的帖子或者回复中,构造多个不存在的图片链接,比如 www.example.com/foo.png,其他用户访问时会自动加载,就造成了多个 404 请求?

想一想好像还真有这种可能呢。其实博客的评论如果没有过滤 img 和其他元素,也有可能出现这种情况

那怎么样处理比较好?
QQ2171775959
2017-06-01 16:26:48 +08:00
你这个日志好长哦。。具体的处理解决方法楼上面都有很多的。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/364997

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX