access.log 中奇怪的 java 使用者代理

我最近注意到我的主要生產伺服器上的負載很大，經過一些日誌解析後，我偶然發現大量這些使用者代理來自大約 20 個不同的 IP：

173.244.182.194 - -

$$ 07/May/2013:16:26:17 +0200 $$“GET/HTTP/1.1” 302 490 “-” “Java/1.6.0_26” 173.244.182.194 - -$$ 07/May/2013:16:26:18 +0200 $$“GET / HTTP/1.1” 200 17376 “-” “Java/1.6.0_26” 猜測它是某種螢幕抓取工具，我設法用 fail2ban 阻止了那些使用者代理。

現在我很困惑，一旦禁令時間到期，來自IP的請求會一遍又一遍地開始。我目前每天阻止大約 10 個 IP。

它是什麼？IP 來自伺服器和個人使用者，這是正常事件（例如那些不斷嘗試使用 SSH 登錄的受感染伺服器）我應該擔心我的伺服器安全嗎？

當 Java 發出 HTTP 請求時，該 User-Agent 是預設的。這表明它是由一個懶得去設置自定義使用者代理的程序員編寫的。

即使它是一個合法的機器人，它也可能寫得不好。我會很樂意阻止它。

我在自己的網路日誌中看到了相同的 IP 地址（以及附近的其他幾個地址），它們檢索看起來非常垃圾的 URL，例如/blog/there-are-some-diablo-3-gold-players.html帶有垃圾郵件Referer:標題的通用 URL，這使得他們看起來像是在搜尋色情內容。

我還看到它發送的請求是POST /action/sign_in合法的爬行機器人不應該做的。它還通過一個簡短的普通（如果稍微舊的）瀏覽器列表來更改其使用者代理。

引用自：https://serverfault.com/questions/505921