Ich habe folgenden Eintrag in meinem access.log gefunden
115.231.222.40 - - [02/Oct/2015:07:57:11] "GET http://zc.qq.com/cgi-bin/common/attr?id=260714&r=0.8936631410048374 HTTP/1.1" 302 160 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; 360SE)"
Was bedeutet das? Muss ich mir Sorgen machen?
Antwort1
Es sieht aus wie ein Spambot, der versucht, eine ungültige Anfrage zu senden oder möglicherweise herauszufinden, ob Ihr Server falsch konfiguriert ist und kein Proxy zulässt.
Müssen Sie sich Sorgen machen? Ich finde es ein bisschen seltsam, dass ein 302
Statuscode wie in zurückgegeben wird. Ich würde erwarten, dass eine solche Anfrage ein , oder vielleicht oder 302 Found
generiert . Im Allgemeinen sollten derartige Anfragen bei richtig konfigurierten modernen Servern jedoch keinen großen Grund zur Sorge geben.404 Not Found
400 Bad Request
403 Forbidden
(In Ihrer Situation würde ich vermuten, dass eine 302-Fehlermeldung zurückgegeben wird, weil Sie 404-Seiten auf eine einzige „Nicht gefunden“-Seite umleiten. Wenn das so ist, müssen Sie sich tatsächlich Gedanken über die Benutzerfreundlichkeit Ihrer Site machen, denn das ist keine gute Vorgehensweise, da der Benutzer keine Möglichkeit hat, eine falsch eingegebene URL einfach zu korrigieren, da diese einfach in Luft aufgeht und er kaum eine Ahnung hätte, was falsch ist.)
Antwort2
Ich sehe dasselbe auf einem lokalen Server. Die ursprüngliche IP wird als wahrscheinlicher Bot bei einem chinesischen ISP aufgeführt. Es handelt sich wahrscheinlich um einen Teil eines automatischen Scans für einen DDOS-Verstärkungsangriff auf qq.com, eine Art chinesischen Webmail-Anbieter. Der URL nach zu urteilen, handelt es sich wahrscheinlich um einen bekannten Exploit (der CPU-Zeit bindet?) gegen deren Webserver-Installation.
Viele „wahrscheinliche“ Gründe, sollten Sie sich Sorgen machen? – Nein, aber stellen Sie sicher, dass Sie die Anfrage nicht an die tatsächliche Zieldomäne weiterleiten.
Antwort3
Ich bekomme diese Anfragen seit mehreren Monaten täglich alle paar Stunden an meinen Apache-Server, jedes Mal mit einer anderen ID. Meldungen an die aufgeführten Domänenmissbrauchsabteilungen für die Quell-IP 115.230.124.164 und zc.qq.com schlagen ständig fehl.
Ich habe eine Umschreibregel implementiert, die alle Treffer von der IP an sich selbst zurücksendet.