Apache-2.2
access.log 中奇怪的 java 使用者代理
我最近注意到我的主要生產伺服器上的負載很大,經過一些日誌解析後,我偶然發現大量這些使用者代理來自大約 20 個不同的 IP:
173.244.182.194 - -
$$ 07/May/2013:16:26:17 +0200 $$“GET/HTTP/1.1” 302 490 “-” “Java/1.6.0_26” 173.244.182.194 - -$$ 07/May/2013:16:26:18 +0200 $$“GET / HTTP/1.1” 200 17376 “-” “Java/1.6.0_26” 猜測它是某種螢幕抓取工具,我設法用 fail2ban 阻止了那些使用者代理。
現在我很困惑,一旦禁令時間到期,來自IP的請求會一遍又一遍地開始。我目前每天阻止大約 10 個 IP。
它是什麼?IP 來自伺服器和個人使用者,這是正常事件(例如那些不斷嘗試使用 SSH 登錄的受感染伺服器)我應該擔心我的伺服器安全嗎?
當 Java 發出 HTTP 請求時,該 User-Agent 是預設的。這表明它是由一個懶得去設置自定義使用者代理的程序員編寫的。
即使它是一個合法的機器人,它也可能寫得不好。我會很樂意阻止它。
我在自己的網路日誌中看到了相同的 IP 地址(以及附近的其他幾個地址),它們檢索看起來非常垃圾的 URL,例如
/blog/there-are-some-diablo-3-gold-players.html
帶有垃圾郵件Referer:
標題的通用 URL,這使得他們看起來像是在搜尋色情內容。我還看到它發送的請求是
POST /action/sign_in
合法的爬行機器人不應該做的。它還通過一個簡短的普通(如果稍微舊的)瀏覽器列表來更改其使用者代理。