nginx - 线鲨。我认为我的网络服务器被恶意注入滥用。我可以有第二个意见吗?
问题描述
我认为我的网络服务器被恶意注入滥用,导致多个 400 Bad Requests 和 414 URI 错误代码。
我可以从数据包分析中看到一个 IP 正在向我的网络服务器发送错误数据,类似于以下内容(但多次尝试):
.../././././././ 0050 2e 2f 2e 2f 2e 2f 2e 2f 2e 2f 2e 2f 2e 2f 2e 2f ././././././././ 0060 2e 2f 2e 2f 2e 2f 2e 2f 2e 2f 2e 2f 2e 2f 2e 2f ././././././././ 0070 2e 2f 2e 2f 2e 2f 2e 2f 2e 2f 2e 2f 2e 2f 2e 2f 。 /./././././././ 0080 2e 2f 2e 2f 2e 2f 2e 2f 2e 2f 2e 2f 2e 2f 2e 2f ././././././././ 0090 2e 2f 2e 2f 2e 2f 2e 2f 2e 2f 2e 2f 2e 2f 2e 2f ././././././././ 00a0 2e 2f 2e 2f 2e 2f 2e 2f 2e 2f 2e 2f 2e 2f 2e 2f ./ ./././././././
在某些情况下,数据包分析显示文件路径包含在提交的 PSH、ACK 数据包中,这表明尝试访问后端文件和配置数据。在所有情况下,服务器都响应 400 和 414 错误代码,用于更大(1441 字节以上)的数据包大小。我确信这个活动是恶意的,可能是试图向网络服务器 DoS 注入数据,或者试图获得对服务器文件的未经授权的访问。
有人可以帮助验证或建议我的分析吗?
解决方案
NGINX 访问日志告诉你什么?这些请求是针对您的 http 接口发送的吗?
如果您认为这个 IP 在某种程度上行为不端,请使用 IP-Tables 甚至直接使用 NGINX 来阻止它,然后再次检查日志。尝试使用实际的日志条目更新帖子,但在这一点上,对我来说,它看起来像是文件遍历攻击的一些可能用法。但是检查日志,如果您认为攻击来自单个 IP,请阻止它
推荐阅读
- graphql - 如何根据存在来调节 GraphQL 突变?
- javascript - 即使将字符串打印到控制台,JavaScript也会返回一个promise
- apache-kafka - Kafka Streams 不断进入错误状态,应用程序无法启动
- bootstrap-4 - 引导网格类没有使页面响应
- angular - 根据“子”表中的值过滤firebase父母 - Angularfire
- haskell - 递归未终止
- java - 使用带有布尔方法的链表
- amazon-web-services - S3 事件通知的实时性
- macos - Mac finder windows 类型显示为灰色 这让我发疯
- python-3.x - 将我的 python 版本更新到 3.6。康达环境