V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
bdbai
V2EX  ›  PHP

为什么有人总是那么无聊?

  •  
  •   bdbai · 2015-11-11 22:27:02 +08:00 · 5512 次点击
    这是一个创建于 3277 天前的主题,其中的信息可能已经有所发展或是发生改变。
    年初写了一个用来练手的 PHP 项目,比较丑,链接就不贴了。应用部署在 SAE 上,今天偶然发现日志里出现了一些奇奇怪怪的东西:


    为什么他们不相信代码是纯手写的呢!
    38 条回复    2015-11-12 22:07:36 +08:00
    Fedor
        1
    Fedor  
       2015-11-11 22:31:05 +08:00
    有种程序叫爬虫。
    choury
        2
    choury  
       2015-11-11 22:35:34 +08:00
    你这算什么啊,我用 golang 写了个网站,一堆爬各种 php 页面的记录
    RyuZheng
        3
    RyuZheng  
       2015-11-11 23:13:39 +08:00
    都这样,我上次分享了个页面,有个小视频是直接放在七牛上的,第二天七牛的客服就 QQ 找我说昨天我的流量用了 40G ;我一看这个视频链接被发去各种乱七八糟的地方,最后我把视频改到 vimeo 上了,再贴到那个小站上,爱咋样咋样,反正破了流量就自动停掉了
    kslr
        4
    kslr  
       2015-11-11 23:44:07 +08:00 via Android
    光撒网
    kslr
        5
    kslr  
       2015-11-11 23:44:16 +08:00 via Android
    广撒网
    ob
        6
    ob  
       2015-11-11 23:56:36 +08:00
    @bdbai 为什么他们不相信代码是纯手写的呢
    没看明白这一句,通过这图片能看出来他们不相信代码是纯手写?
    FreeDog
        7
    FreeDog  
       2015-11-12 00:00:07 +08:00
    很正常,我的还有隧道和代理的扫描,各种 CONNECT 、 GET 外部地址的 log
    Andy1999
        8
    Andy1999  
       2015-11-12 00:01:11 +08:00 via iPhone
    扫描机干的
    wkdhf233
        9
    wkdhf233  
       2015-11-12 00:05:09 +08:00   ❤️ 1
    @ob 这 log 明显是在猜管理页地址,也就说认为这个页面是使用现有 CMS 搭建出来的
    bdbai
        10
    bdbai  
    OP
       2015-11-12 00:09:27 +08:00 via iPhone
    @Fedor 爬虫不应该老老实实抓内容..?
    @choury 他们什么站都爬啊...
    @RyuZheng 客服主动联系,这么好?我也碰到过,得自己联系他们。所以以后所有 bucket 都用私有+防盗链。
    @ob 我觉得现成的 PHP 脚本 /程序可能会被他们命中。
    @FreeDog 完全不理解他们在干什么...
    @Andy1999 扫我这个,然并卵啊。
    Vonex
        11
    Vonex  
       2015-11-12 00:10:23 +08:00
    黑阔来了,在扫描呢
    Andy1999
        12
    Andy1999  
       2015-11-12 00:21:07 +08:00 via iPhone
    @bdbai 随即扫描
    mornlight
        13
    mornlight  
       2015-11-12 00:23:40 +08:00
    这种是扫描机到处扫的结果,不是针对你的。
    roychan
        14
    roychan  
       2015-11-12 00:27:47 +08:00
    我的博客每天各种 Web SQL 攻击什么的。。。还有各种 .php 请求,然而我是 Python + MongoDB ……
    msg7086
        15
    msg7086  
       2015-11-12 00:46:04 +08:00
    有人对着我伪装成 IIS 的 nginx 扫了 2 万多条 asp 漏洞我会说?
    squid157
        16
    squid157  
       2015-11-12 01:28:42 +08:00
    @msg7086 看 log 不烦么 我就搞了个 fail2ban
    msg7086
        17
    msg7086  
       2015-11-12 01:29:35 +08:00
    @squid157 fail2ban 做在 nginx access log 上?你不怕把正常人干了?
    squid157
        18
    squid157  
       2015-11-12 01:34:09 +08:00
    @msg7086 那么多 404 门槛设置高点,惩罚低一点 ban 个 30 秒就够他受了
    msg7086
        19
    msg7086  
       2015-11-12 01:36:25 +08:00
    @squid157 其实不是 404 。最后撞在一个 catch all 的 php 脚本上的。
    嘛硬吃一下也无所谓啦并不是什么大问题,才 2 万多请求。
    yangqi
        20
    yangqi  
       2015-11-12 01:50:15 +08:00
    当然没人那么无聊了,都是机器人自动扫描的
    squid157
        21
    squid157  
       2015-11-12 02:37:09 +08:00 via iPhone
    @msg7086 日志刷屏还是挺烦人的
    Perry
        22
    Perry  
       2015-11-12 03:17:19 +08:00
    是的我以前有个工作就是这个,一天在浏览器上输几万个链接来扫描楼主等人的漏洞
    ivanlw
        23
    ivanlw  
       2015-11-12 03:38:56 +08:00
    没看出来有什么奇怪的,谁能点拨下么……
    kslr
        24
    kslr  
       2015-11-12 09:22:38 +08:00
    @squid157 你天天看日志?偶尔上去看看删了就行了
    squid157
        25
    squid157  
       2015-11-12 10:22:03 +08:00 via iPhone
    @kslr access log 不看 auth 之类倒是会看看
    realpg
        26
    realpg  
       2015-11-12 10:23:55 +08:00
    @msg7086
    你这防护措施也太渣了……
    我的 webserver 基本上请求过来尾巴结尾是.jsp 和.asp 和.aspx 的和.do 的,直接触发 iptables drop 该 IP 所有包
    所有试图请求我服务器 22 端口的直接 iptables drop IP 所有包
    日志清静多了……
    msg7086
        27
    msg7086  
       2015-11-12 10:54:45 +08:00
    @realpg 反正也懒得看日志,防护不防护区别不大,攻不进来就可以了嘛。
    hqs123
        28
    hqs123  
       2015-11-12 11:51:58 +08:00
    其实从另一方面说他这样做也侧面提高你的技术水平啊
    ety001
        29
    ety001  
       2015-11-12 12:15:01 +08:00
    这就是挑软柿子捏。
    黑客拿工具扫一段 IP ,开 80 的,就再继续扫常见漏洞。
    bdbai
        30
    bdbai  
    OP
       2015-11-12 16:02:18 +08:00
    @hqs123 感觉并没有做什么。
    initialdp
        31
    initialdp  
       2015-11-12 18:12:32 +08:00
    @realpg 请指点怎么设置,谢谢。
    w88975
        32
    w88975  
       2015-11-12 18:25:43 +08:00   ❤️ 1
    这明显是一些小黑阔在扫描,可以看日志记录访问的几个 360.php 测试你的站是否有装 360 的 sql 防注入等等,发现没有,然后就扫一般的 cms 程序的漏洞,包括注入等等,从 mytag_js 和 fckeditor 就知道这是想找漏洞。
    然而并没有什么乱用,楼主是手写的程序。
    Kokororin
        33
    Kokororin  
       2015-11-12 18:33:59 +08:00
    然而 appid 已暴露,放不放链接也没什么区别了吧(跑
    bdbai
        34
    bdbai  
    OP
       2015-11-12 19:17:09 +08:00 via iPhone
    @Kokororin 只是表明"并非安利"罢了。
    realpg
        35
    realpg  
       2015-11-12 19:49:32 +08:00
    @msg7086
    你的性能压榨一般吧,不在乎那点性能……
    我的很多服务器都是小钱办大事的,性能有限啊
    msg7086
        36
    msg7086  
       2015-11-12 21:11:52 +08:00
    @realpg 反正站长表示现在的花销能接受。
    而且高峰时刻明显预留了很多余量,否则万一来一波用户就挂了那就难堪了。
    konakona
        37
    konakona  
       2015-11-12 21:26:31 +08:00
    这是一些固定的探测工具,我几个 ECS 每天有几百个这样的探测请求。
    bdbai
        38
    bdbai  
    OP
       2015-11-12 22:07:36 +08:00 via iPhone
    @konakona 对正常访问有影响吗?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1378 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 168ms · UTC 17:37 · PVG 01:37 · LAX 10:37 · JFK 13:37
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.