Registro de acceso de Nginx: ¿OBTENER zc.qq.com?

Registro de acceso de Nginx: ¿OBTENER zc.qq.com?

Encontré la siguiente entrada en mi access.log

115.231.222.40 - - [02/Oct/2015:07:57:11] "GET http://zc.qq.com/cgi-bin/common/attr?id=260714&r=0.8936631410048374 HTTP/1.1" 302 160 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; 360SE)"

¿Qué significa? ¿Tengo que preocuparme?

Respuesta1

Parece un robot de spam que intenta enviar una solicitud no válida, o posiblemente para ver si su servidor está mal configurado para permitir el proxy.

¿Tienes que preocuparte? Me parece un poco extraño que 302se devuelva un código de estado, como en 302 Found, esperaría que dicha solicitud genere un 404 Not Found, o tal vez 400 Bad Requesto 403 Forbidden, pero, en general, este tipo de solicitudes no deberían causar mucha preocupación con servidores modernos configurados correctamente.

(En su situación, supongo que se devuelve un 302 porque redirige 404 páginas a una única página "no encontrada". Si es así, entonces sí, debe preocuparse con respecto a la usabilidad de su sitio, porque eso es no es una buena práctica, ya que el usuario no tiene posibilidad de corregir fácilmente una URL mal escrita, ya que simplemente desaparece en el aire y no tendría ni idea de qué está mal).

Respuesta2

Veo lo mismo en un servidor local. La IP de origen figura como probablemente un bot en un ISP chino. Probablemente sea parte de un análisis automatizado en busca de un ataque de amplificación DDOS contra qq.com, que es una especie de proveedor de correo web chino. A juzgar por la URL, probablemente exista un exploit conocido (¿ocupando tiempo de CPU?) contra la instalación de su servidor web.

Hay muchas razones "probables", ¿deberías preocuparte? - No, pero asegúrese de no reenviar la solicitud al dominio de destino real.

Respuesta3

He estado recibiendo estas solicitudes a mi servidor Apache cada dos horas diariamente durante varios meses, con una identificación diferente cada vez. Los informes a los departamentos de abuso de dominio enumerados para la IP de origen 115.230.124.164 y zc.qq.com fallan constantemente.

Implementé una regla de reescritura que me envía todos los accesos de la IP.

información relacionada