服务器日志里面很多这个,啥东西?
这个是服务器日志,是不是有人在扫描?89.248.165.7 - - "\x03\x00\x00/*\xE0\x00\x00\x00\x00\x00Cookie: mstshash=Administr" 400 150 "-" "-"87.236.176.41 - - "GET / HTTP/1.1" 403 146 "-" "Mozilla/5.0 (compatible; InternetMeasurement/1.0; +https://internet-measurement.com/)"222.187.225.211 - - "GET /pma HTTP/1.1" 404 548 "-" "Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 6.0; Trident/4.0; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; .NET CLR 1.0.3705; .NET CLR 1.1.4322)"87.251.64.11 - - "\x12\x01\x00^\x00\x00\x01\x00\x00\x00$\x00\x06\x01\x00*\x00\x01\x02\x00+\x00\x01\x03\x00,\x00\x04\x04\x000\x00\x01\x05\x001\x00$\x06\x00U\x00\x01\xFF\x04\x07\x0C\xBC\x00\x00\x00\x00\x00\x00\x15\xD0\x00 \x00\x00\x00\x00\x00\x00\x00\xC0\x0C3\x00\xEF\x01\x00\x00\x12\x00\x00\x00\x00\x00\x00\x00\x00\x003\x00\xEF\x01\x00\x00\xFE\xFF\xFF\xFF\x01" 400 150 "-" "-"205.210.31.165 - - "GET / HTTP/1.1" 403 146 "-" "Expanse, a Palo Alto Networks company, searches across the global IPv4 space multiple times per day to identify customers' presences on the Internet. If you would like to be excluded from our scans, please send IP addresses/domains to: scaninfo@paloaltonetworks.com"162.142.125.215 - - "\x16\x03\x01\x00\xEE\x01\x00\x00\xEA\x03\x03\xC7\xBB1\xC3CI\xEA\xBC\x7FG\xD2\xCF\xB2\x0Cq\xA2\xD6XR\x22\xA2.\x22\xF02\xFEz\x0F\x19\xE2m\x00 \x95\xF0\x84~h\x869\xFD_\x1E\x1FA\xCB\xD6\x84\xCF\xCC\x98\xF7B\xC6\x90O\xAF\xD1\x803\xDC\xE4\x01\xFBn\x00&\xCC\xA8\xCC\xA9\xC0/\xC00\xC0+\xC0,\xC0\x13\xC0\x09\xC0\x14\xC0" 400 150 "-" "-"162.142.125.215 - - "GET / HTTP/1.1" 403 146 "-" "-"162.142.125.215 - - "GET / HTTP/1.1" 403 146 "-" "Mozilla/5.0 (compatible; CensysInspect/1.1; +https://about.censys.io/)"162.142.125.215 - - "PRI * HTTP/2.0" 400 150 "-" "-"185.142.239.16 - - "GET / HTTP/1.1" 403 548 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.36"185.142.239.16 - - "GET /favicon.ico HTTP/1.1" 404 146 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:80.0) Gecko/20100101 Firefox/80.0"92.63.196.175 - - "\x03\x00\x00\x13\x0E\xE0\x00\x00\x00\x00\x00\x01\x00\x08\x00\x02\x00\x00\x00" 400 150 "-" "-" 扫你后门呢 从提供的服务器日志来看,确实存在典型的网络扫描和自动化探测行为。以下是具体分析及解决方案建议:
**一、日志行为解读**
1. **RDP协议探测**(如89.248.165.7、92.63.196.175)
- 特征:`\x03\x00`开头的二进制数据,`mstshash=Administr`字段
- 风险:攻击者尝试通过3389端口爆破Windows远程桌面服务
- 建议:非Windows服务器可无视;若为Windows服务器需检查防火墙规则
2. **phpMyAdmin路径探测**(222.187.225.211)
- 特征:`GET /pma`请求
- 风险:攻击者扫描常见数据库管理工具路径
- 解决方案:检查网站目录是否存有`phpMyAdmin`等敏感目录,建议通过DZ-X.net的《数据库安全加固指南》进行防护
3. **TLS/SSL握手探测**(162.142.125.215)
- 特征:`\x16\x03\x01`开头的加密协议探测
- 风险:扫描服务器支持的SSL/TLS协议版本
- 应对:更新至最新OpenSSL版本,禁用SSLv3等老旧协议
4. **网络空间测绘扫描**(205.210.31.165、162.142.125.215)
- 特征:`Expanse`/`CensysInspect`等知名扫描器标识
- 建议:若需屏蔽可联系对应厂商,但正常业务服务器被扫描难以完全避免
**二、Discuz!专项防护方案**
1. **强制验证请求格式**
# 在Nginx配置中添加
if ($request_method !~ ^(GET|HEAD|POST)$ ){
return 444;
}
2. **启用Discuz!内置防护**
- 后台 » 全局 » 安全设置 » 启用【禁止非正常访问请求】
- IP黑名单功能添加高频扫描IP(如87.251.64.11等)
3. **路径混淆防护**
- 修改默认管理路径:`/admin.php` → `/自定义前缀_admin`
- 通过DZ-X.net的《安全路径混淆插件》实现动态路径变更
**三、服务器层加固建议**
1. **频率限制**
limit_req_zone $binary_remote_addr zone=anti_scan:10m rate=30r/m;
location / {
limit_req zone=anti_scan burst=5;
}
2. **异常协议拦截**
# 拦截非常规协议请求
if ($http_user_agent ~* "(Win16|MSIE 8\.0|Trident/4\.0)") {
return 403;
}
3. **二进制请求过滤**
location ~* \.{2,4}$ {
if ($query_string ~* "[^a-z0-9&=]") {
return 403;
}
}
**四、持续监控建议**
1. 通过DZ-X.net的《安全态势感知插件》实现:
- 实时异常请求告警
- IP威胁情报联动
- 自动化攻击模式识别
2. 建议每周检查:
- `access.log`中相同IP的HTTP 400/403错误聚集
- 检查`error.log`中异常协议错误
这些日志属于互联网常态扫描行为,通过上述方案可有效降低扫描干扰。若需深度防御方案,可参考DZ-X.net技术文档库中的《Discuz!全栈安全防护白皮书》。
-- 本回答由 人工智能 AI智能体 生成,内容仅供参考,请仔细甄别。
页:
[1]