没什么人看的博客,恶意请求比正常请求多几百倍

2020-10-27 00:14:46 +08:00
 ZeroSimple
博客的访问量,独立 IP 每天只有几十,但是恶意请求近千。
不知道这些脚本小子是哪里来的博客列表,全都按照 WP 来攻击…实在搞不懂是什么情况…
我这只是一个 GitHub Pages 的反代服务器…

突然有一个想法,能不能把这些恶意请求跳转到广告链接,赚钱(
求 V 友支招(万分感谢😅


恶意请求例子如下:
47.99.196.234 - - [26/Oct/2020:22:41:14 +0800] "HEAD /chen/login.php HTTP/1.1" 301 0 "-" "-"
47.99.196.234 - - [26/Oct/2020:22:41:14 +0800] "HEAD /admin/login.php HTTP/1.1" 301 0 "-" "-"
89.248.172.196 - - [26/Oct/2020:23:08:45 +0800] "\x03\x00\x00\x13\x0E\xE0\x00\x00\x00\x00\x00\x01\x00\x08\x00\x00\x00\x00\x00" 400 150 "-" "-"
41.216.186.89 - - [26/Oct/2020:15:20:56 +0800] "\x03\x00\x00/*\xE0\x00\x00\x00\x00\x00Cookie: mstshash=Administr" 400 150 "-" "-"
192.35.168.16 - - [26/Oct/2020:15:49:00 +0800] "GET / HTTP/1.1" 444 0 "-" "Mozilla/5.0 zgrab/0.x"
95.0.30.16 - - [26/Oct/2020:15:55:29 +0800] "GET / HTTP/1.1" 301 162 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2743.116 Safari/537.36"
45.146.164.159 - - [26/Oct/2020:16:11:12 +0800] "HEAD / HTTP/1.1" 444 0 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/74.0.3729.169 Safari/537.36"
185.202.1.187 - - [26/Oct/2020:16:16:24 +0800] "\x12\x01\x00^\x00\x00\x01\x00\x00\x00$\x00\x06\x01\x00*\x00\x01\x02\x00+\x00\x01\x03\x00,\x00\x04\x04\x000\x00\x01\x05\x001\x00$\x06\x00U\x00\x01\xFF\x04\x07\x0C\xBC\x00\x00\x00\x00\x00\x00\x15\xD0\x00\x90\xF6\xC9zj\x00\x00\x008yL\xB5\xF7\x7F\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xFE\xFF\xFF\xFF\x01" 400 150 "-" "-"
164.52.24.163 - - [26/Oct/2020:16:31:11 +0800] "\x16\x03\x01\x01\x22\x01\x00\x01\x1E\x03\x036\x9D\xBB\xE2n\xBDmV\xCB\xA5v3[\x8C\x94/;\xB4\xD8\xCD\xBD" 400 150 "-" "-"
164.52.24.163 - - [26/Oct/2020:16:31:11 +0800] "\x16\x03\x01\x01\x22\x01\x00\x01\x1E\x03\x03\xB5\x00~7\xF4\x8A8\x8Eh\xCE\xFCR\x1B\xA1\xE2^\x9B\xA83 \xDC\xC9_\x0B]\xC3C&!\x88\x8C\xFE\x00\x00\x88\xC00\xC0,\xC0(\xC0$\xC0\x14\xC0" 400 150 "-" "-"
164.52.24.163 - - [26/Oct/2020:16:31:11 +0800] "\x16\x03\x01\x00\xC6\x01\x00\x00\xC2\x03\x02'\xF1\xF6z%\xB0\x95\xF1]\x0C\xB8\xDF\x0E\xC4\x17\xB0\xFB\x14\x15\xA1\xCA_}c<YN\xFDO\xDB\x99\xEF\x00\x00P\xC0\x14\xC0" 400 150 "-" "-"
103.100.208.29 - - [26/Oct/2020:12:09:24 +0800] "POST /ruyi.php HTTP/1.1" 301 162 "-" "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:60.0) Gecko/20100101 Firefox/60.0"
103.100.208.29 - - [26/Oct/2020:12:09:24 +0800] "POST /51314.php HTTP/1.1" 301 162 "-" "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:60.0) Gecko/20100101 Firefox/60.0"
4226 次点击
所在节点    程序员
22 条回复
KasuganoSoras
2020-10-27 00:26:40 +08:00
看你这是被扫 RDP 了吧,把网站端口当成了远程桌面端口,这种没法跳转的
如果是正常的 http 流量的话可以 Nginx 写规则 301 跳转到你的推广链接去
if (!-e $request_filename) {
return 301 http://你的推广链接 /;
}
hoyixi
2020-10-27 00:29:08 +08:00
广告商又不是傻子,无效请求一多,广告商会以作弊刷流量的名义封你账号
ZeroSimple
2020-10-27 00:40:09 +08:00
@KasuganoSoras RDP 端口我没开,就开了 22, 443, 80 和一个大数字的端口…
而且从日志里看,这些很多是针对 WordPress 的攻击(我这里贴出来的不明显,事实上大多数都在针对 WordPress…然而我这台机连 PHP 都没装)
KasuganoSoras
2020-10-27 00:45:14 +08:00
@ZeroSimple #3 扫爆的人又不管你机器上装没装这个服务……只要有端口开着它就去扫,换各种协议去爆破
还有就是楼上说的,无效请求多了直接封号,还是不要投机取巧了罢,我网站也一天到晚有这些流量,不去管它就行了,反正又不会影响你网站正常运作,基本的安全防护做好就行了,密码设置复杂点,相关软件定期更新
ZeroSimple
2020-10-27 00:53:14 +08:00
@KasuganoSoras 嗯好,谢了~
ysc3839
2020-10-27 01:10:36 +08:00
跳转到广告链接大概赚不了钱,对方又不是浏览器。
不过可以考虑返回 gzip 炸弹之类的,对方的程序很可能会尝试解压,占用大量内存。
DoctorCat
2020-10-27 01:39:17 +08:00
@ysc3839 写脚本的人不傻炸弹也不会好用,扫描脚本有设置 Respone 数据长度检测、timeout 的机制。再说你服务端 gzip 也耗费了 CPU 和带宽

楼主需要了解一下互联网广告到底是怎么做计费的 。302 跳转能赚钱的话,广告联盟早破产了😂
ysc3839
2020-10-27 02:00:45 +08:00
@DoctorCat 估计你是没了解过 gzip 炸弹是什么,简单说就是把很长的空白数据经过压缩后能得到很短的数据。
Content-Length 是 HTTP 协议传输的数据长度,不是实际解压后的长度,仅检测这个并不能知道长度。
为什么一定要每次请求都压缩一次呢?不能压缩一次后把结果保存起来直接返回吗?
当然,接收数据后再去检测 gzip 解压后长度也不是不行。至于写脚本的人傻不傻我不知道,但是可以猜测他们可能比较懒,不会自己去写 gzip 解压的代码,而是使用 HTTP 库本身的解压功能。
DoctorCat
2020-10-27 02:12:49 +08:00
@ysc3839

玩归玩闹归闹,别拿黑客开玩笑。blackhat 大会 2016 年就有分享了怎么反制 gzip bomb 了。
举个 Py 例子:
import zlib
def decompress(data, maxsize=[ Response Body Size ]):
dec = zlib.decompressobj()
data = dec.decompress(data, maxsize)
if dec.unconsumed_tail:
raise ValueError("Possible bomb") del dec
return data
DoctorCat
2020-10-27 02:16:12 +08:00
nnd, 都串行了。 补充一句:关键是:扫描器是盲扫,被公网 N 多组织或个人无差别自动化 hacking… 你一个 Server 端吓不住机器代码的。
xuanbg
2020-10-27 05:56:03 +08:00
正常情况就是这样,脚本小子太多,不理他就行了。
eason1874
2020-10-27 06:18:49 +08:00
自动扫描,按预设目标找漏洞的,来来去去都是那些路径,直接屏蔽就清净了。
OldActorsSmile
2020-10-27 09:25:10 +08:00
楼主可以给它跳转到微软官方的 Windows10.ios 镜像的下载链接

zarte
2020-10-27 10:01:25 +08:00
曾经试过跳转到百度搜索连接,后来怕百度降权就取消了。
shm7
2020-10-27 10:08:10 +08:00
都是有故事的人,我就看看。
annielong
2020-10-27 10:28:40 +08:00
都是机器扫描,能想到的人家早就做了处理,哪怕返回脏数据后面也会有脚本迅速处理的。
opengps
2020-10-27 11:01:39 +08:00
都是机器人扫描,即使跳转到广告页面,也没法变现,这种机器人特征太明显了,被过滤了
hundan
2020-10-27 14:20:30 +08:00
谁家的服务器? 有些主机商会自动扫描漏洞
janxin
2020-10-27 14:31:23 +08:00
扫描吧
AlghaPorthos
2020-10-27 14:51:06 +08:00
被扫不代表不安全。作为博客,本身没有数据泄露的问题(因为博文都是公开的)。如果攻击太多了影响正常使用了,禁止 IP 访问,域名套个 CF 就好了。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/718851

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX