这是一个创建于 1270 天前的主题,其中的信息可能已经有所发展或是发生改变。
博客的访问量,独立 IP 每天只有几十,但是恶意请求近千。
不知道这些脚本小子是哪里来的博客列表,全都按照 WP 来攻击…实在搞不懂是什么情况…
我这只是一个 GitHub Pages 的反代服务器…
突然有一个想法,能不能把这些恶意请求跳转到广告链接,赚钱(
求 V 友支招(万分感谢😅
恶意请求例子如下:
47.99.196.234 - - [26/Oct/2020:22:41:14 +0800] "HEAD /chen/login.php HTTP/1.1" 301 0 "-" "-"
47.99.196.234 - - [26/Oct/2020:22:41:14 +0800] "HEAD /admin/login.php HTTP/1.1" 301 0 "-" "-"
89.248.172.196 - - [26/Oct/2020:23:08:45 +0800] "\x03\x00\x00\x13\x0E\xE0\x00\x00\x00\x00\x00\x01\x00\x08\x00\x00\x00\x00\x00" 400 150 "-" "-"
41.216.186.89 - - [26/Oct/2020:15:20:56 +0800] "\x03\x00\x00/*\xE0\x00\x00\x00\x00\x00Cookie: mstshash=Administr" 400 150 "-" "-"
192.35.168.16 - - [26/Oct/2020:15:49:00 +0800] "GET / HTTP/1.1" 444 0 "-" "Mozilla/5.0 zgrab/0.x"
95.0.30.16 - - [26/Oct/2020:15:55:29 +0800] "GET / HTTP/1.1" 301 162 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2743.116 Safari/537.36"
45.146.164.159 - - [26/Oct/2020:16:11:12 +0800] "HEAD / HTTP/1.1" 444 0 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/74.0.3729.169 Safari/537.36"
185.202.1.187 - - [26/Oct/2020:16:16:24 +0800] "\x12\x01\x00^\x00\x00\x01\x00\x00\x00$\x00\x06\x01\x00*\x00\x01\x02\x00+\x00\x01\x03\x00,\x00\x04\x04\x000\x00\x01\x05\x001\x00$\x06\x00U\x00\x01\xFF\x04\x07\x0C\xBC\x00\x00\x00\x00\x00\x00\x15\xD0\x00\x90\xF6\xC9zj\x00\x00\x008yL\xB5\xF7\x7F\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xFE\xFF\xFF\xFF\x01" 400 150 "-" "-"
164.52.24.163 - - [26/Oct/2020:16:31:11 +0800] "\x16\x03\x01\x01\x22\x01\x00\x01\x1E\x03\x036\x9D\xBB\xE2n\xBDmV\xCB\xA5v3[\x8C\x94/;\xB4\xD8\xCD\xBD" 400 150 "-" "-"
164.52.24.163 - - [26/Oct/2020:16:31:11 +0800] "\x16\x03\x01\x01\x22\x01\x00\x01\x1E\x03\x03\xB5\x00~7\xF4\x8A8\x8Eh\xCE\xFCR\x1B\xA1\xE2^\x9B\xA83 \xDC\xC9_\x0B]\xC3C&!\x88\x8C\xFE\x00\x00\x88\xC00\xC0,\xC0(\xC0$\xC0\x14\xC0" 400 150 "-" "-"
164.52.24.163 - - [26/Oct/2020:16:31:11 +0800] "\x16\x03\x01\x00\xC6\x01\x00\x00\xC2\x03\x02'\xF1\xF6z%\xB0\x95\xF1]\x0C\xB8\xDF\x0E\xC4\x17\xB0\xFB\x14\x15\xA1\xCA_}c<YN\xFDO\xDB\x99\xEF\x00\x00P\xC0\x14\xC0" 400 150 "-" "-"
103.100.208.29 - - [26/Oct/2020:12:09:24 +0800] "POST /ruyi.php HTTP/1.1" 301 162 "-" "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:60.0) Gecko/20100101 Firefox/60.0"
103.100.208.29 - - [26/Oct/2020:12:09:24 +0800] "POST /51314.php HTTP/1.1" 301 162 "-" "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:60.0) Gecko/20100101 Firefox/60.0"
不知道这些脚本小子是哪里来的博客列表,全都按照 WP 来攻击…实在搞不懂是什么情况…
我这只是一个 GitHub Pages 的反代服务器…
突然有一个想法,能不能把这些恶意请求跳转到广告链接,赚钱(
求 V 友支招(万分感谢😅
恶意请求例子如下:
47.99.196.234 - - [26/Oct/2020:22:41:14 +0800] "HEAD /chen/login.php HTTP/1.1" 301 0 "-" "-"
47.99.196.234 - - [26/Oct/2020:22:41:14 +0800] "HEAD /admin/login.php HTTP/1.1" 301 0 "-" "-"
89.248.172.196 - - [26/Oct/2020:23:08:45 +0800] "\x03\x00\x00\x13\x0E\xE0\x00\x00\x00\x00\x00\x01\x00\x08\x00\x00\x00\x00\x00" 400 150 "-" "-"
41.216.186.89 - - [26/Oct/2020:15:20:56 +0800] "\x03\x00\x00/*\xE0\x00\x00\x00\x00\x00Cookie: mstshash=Administr" 400 150 "-" "-"
192.35.168.16 - - [26/Oct/2020:15:49:00 +0800] "GET / HTTP/1.1" 444 0 "-" "Mozilla/5.0 zgrab/0.x"
95.0.30.16 - - [26/Oct/2020:15:55:29 +0800] "GET / HTTP/1.1" 301 162 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2743.116 Safari/537.36"
45.146.164.159 - - [26/Oct/2020:16:11:12 +0800] "HEAD / HTTP/1.1" 444 0 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/74.0.3729.169 Safari/537.36"
185.202.1.187 - - [26/Oct/2020:16:16:24 +0800] "\x12\x01\x00^\x00\x00\x01\x00\x00\x00$\x00\x06\x01\x00*\x00\x01\x02\x00+\x00\x01\x03\x00,\x00\x04\x04\x000\x00\x01\x05\x001\x00$\x06\x00U\x00\x01\xFF\x04\x07\x0C\xBC\x00\x00\x00\x00\x00\x00\x15\xD0\x00\x90\xF6\xC9zj\x00\x00\x008yL\xB5\xF7\x7F\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xFE\xFF\xFF\xFF\x01" 400 150 "-" "-"
164.52.24.163 - - [26/Oct/2020:16:31:11 +0800] "\x16\x03\x01\x01\x22\x01\x00\x01\x1E\x03\x036\x9D\xBB\xE2n\xBDmV\xCB\xA5v3[\x8C\x94/;\xB4\xD8\xCD\xBD" 400 150 "-" "-"
164.52.24.163 - - [26/Oct/2020:16:31:11 +0800] "\x16\x03\x01\x01\x22\x01\x00\x01\x1E\x03\x03\xB5\x00~7\xF4\x8A8\x8Eh\xCE\xFCR\x1B\xA1\xE2^\x9B\xA83 \xDC\xC9_\x0B]\xC3C&!\x88\x8C\xFE\x00\x00\x88\xC00\xC0,\xC0(\xC0$\xC0\x14\xC0" 400 150 "-" "-"
164.52.24.163 - - [26/Oct/2020:16:31:11 +0800] "\x16\x03\x01\x00\xC6\x01\x00\x00\xC2\x03\x02'\xF1\xF6z%\xB0\x95\xF1]\x0C\xB8\xDF\x0E\xC4\x17\xB0\xFB\x14\x15\xA1\xCA_}c<YN\xFDO\xDB\x99\xEF\x00\x00P\xC0\x14\xC0" 400 150 "-" "-"
103.100.208.29 - - [26/Oct/2020:12:09:24 +0800] "POST /ruyi.php HTTP/1.1" 301 162 "-" "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:60.0) Gecko/20100101 Firefox/60.0"
103.100.208.29 - - [26/Oct/2020:12:09:24 +0800] "POST /51314.php HTTP/1.1" 301 162 "-" "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:60.0) Gecko/20100101 Firefox/60.0"
 |
1
KasuganoSoras 2020-10-27 00:26:40 +08:00
看你这是被扫 RDP 了吧,把网站端口当成了远程桌面端口,这种没法跳转的
如果是正常的 http 流量的话可以 Nginx 写规则 301 跳转到你的推广链接去 if (!-e $request_filename) { return 301 http://你的推广链接 /; } |
 |
2
hoyixi 2020-10-27 00:29:08 +08:00
广告商又不是傻子,无效请求一多,广告商会以作弊刷流量的名义封你账号
|
 |
3
ZeroSimple OP @KasuganoSoras RDP 端口我没开,就开了 22, 443, 80 和一个大数字的端口…
而且从日志里看,这些很多是针对 WordPress 的攻击(我这里贴出来的不明显,事实上大多数都在针对 WordPress…然而我这台机连 PHP 都没装) |
|
4
KasuganoSoras 2020-10-27 00:45:14 +08:00
@ZeroSimple #3 扫爆的人又不管你机器上装没装这个服务……只要有端口开着它就去扫,换各种协议去爆破
还有就是楼上说的,无效请求多了直接封号,还是不要投机取巧了罢,我网站也一天到晚有这些流量,不去管它就行了,反正又不会影响你网站正常运作,基本的安全防护做好就行了,密码设置复杂点,相关软件定期更新 |
|
5
ZeroSimple OP @KasuganoSoras 嗯好,谢了~
|
 |
6
ysc3839 2020-10-27 01:10:36 +08:00 via Android  1
跳转到广告链接大概赚不了钱,对方又不是浏览器。
不过可以考虑返回 gzip 炸弹之类的,对方的程序很可能会尝试解压,占用大量内存。 |
 |
7
DoctorCat 2020-10-27 01:39:17 +08:00
@ysc3839 写脚本的人不傻炸弹也不会好用,扫描脚本有设置 Respone 数据长度检测、timeout 的机制。再说你服务端 gzip 也耗费了 CPU 和带宽
楼主需要了解一下互联网广告到底是怎么做计费的 。302 跳转能赚钱的话,广告联盟早破产了😂 |
|
8
ysc3839 2020-10-27 02:00:45 +08:00 via Android 1
@DoctorCat 估计你是没了解过 gzip 炸弹是什么,简单说就是把很长的空白数据经过压缩后能得到很短的数据。
Content-Length 是 HTTP 协议传输的数据长度,不是实际解压后的长度,仅检测这个并不能知道长度。 为什么一定要每次请求都压缩一次呢?不能压缩一次后把结果保存起来直接返回吗? 当然,接收数据后再去检测 gzip 解压后长度也不是不行。至于写脚本的人傻不傻我不知道,但是可以猜测他们可能比较懒,不会自己去写 gzip 解压的代码,而是使用 HTTP 库本身的解压功能。 |
|
9
DoctorCat 2020-10-27 02:12:49 +08:00
@ysc3839
玩归玩闹归闹,别拿黑客开玩笑。blackhat 大会 2016 年就有分享了怎么反制 gzip bomb 了。 举个 Py 例子: import zlib def decompress(data, maxsize=[ Response Body Size ]): dec = zlib.decompressobj() data = dec.decompress(data, maxsize) if dec.unconsumed_tail: raise ValueError("Possible bomb") del dec return data |
|
10
DoctorCat 2020-10-27 02:16:12 +08:00
nnd, 都串行了。 补充一句:关键是:扫描器是盲扫,被公网 N 多组织或个人无差别自动化 hacking… 你一个 Server 端吓不住机器代码的。
|
 |
11
xuanbg 2020-10-27 05:56:03 +08:00
正常情况就是这样,脚本小子太多,不理他就行了。
|
 |
12
eason1874 2020-10-27 06:18:49 +08:00
自动扫描,按预设目标找漏洞的,来来去去都是那些路径,直接屏蔽就清净了。
|
 |
13
OldActorsSmile 2020-10-27 09:25:10 +08:00
楼主可以给它跳转到微软官方的 Windows10.ios 镜像的下载链接
 |
 |
14
zarte 2020-10-27 10:01:25 +08:00
曾经试过跳转到百度搜索连接,后来怕百度降权就取消了。
|
 |
15
shm7 2020-10-27 10:08:10 +08:00
都是有故事的人,我就看看。
|
 |
16
annielong 2020-10-27 10:28:40 +08:00
都是机器扫描,能想到的人家早就做了处理,哪怕返回脏数据后面也会有脚本迅速处理的。
|
 |
17
opengps 2020-10-27 11:01:39 +08:00 via Android
都是机器人扫描,即使跳转到广告页面,也没法变现,这种机器人特征太明显了,被过滤了
|
 |
18
hundan 2020-10-27 14:20:30 +08:00 via iPhone
谁家的服务器? 有些主机商会自动扫描漏洞
|
 |
19
janxin 2020-10-27 14:31:23 +08:00
扫描吧
|
 |
20
AlghaPorthos 2020-10-27 14:51:06 +08:00
被扫不代表不安全。作为博客,本身没有数据泄露的问题(因为博文都是公开的)。如果攻击太多了影响正常使用了,禁止 IP 访问,域名套个 CF 就好了。
|
 |
21
myqoo 2020-10-27 15:30:15 +08:00
这压根就不是 HTTP 协议,估计人家都不会把你返回的结果当 HTTP 解析。
|
 |
22
shenlanAZ 2020-10-27 16:02:05 +08:00
套个 cloudflare 把无效的浏览器屏蔽掉,再按地区把人类验证打开。
|
Select Language