尝试执行脚本的访问日志中的Apache随机IP

Question

我刚才有一个问题。我的apache访问日志包含来自中国，日本等的随机IP。看起来他们正试图从它们所在的地方执行脚本。

日志如下所示：171.117.10.221 - - [29/Jan/2018:08:05:04 -0800] "GET /ogPipe.aspx?name=http://www.dongtaiwang.com/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 (Linux; Android 6.0; Nexus 5 Build/MRA58N) AppleWebKit/537.3$ 1.202.79.71 - - [29/Jan/2018:08:05:06 -0800] "GET /ogPipe.aspx?name=http://www.epochtimes.com/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 (Linux; Android 6.0; Nexus 5 Build/MRA58N) AppleWebKit/537.36 (K$ 113.128.104.239 - - [29/Jan/2018:08:05:11 -0800] "GET /ogPipe.aspx?name=http://www.wujieliulan.com/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Ge$ 117.14.157.148 - - [29/Jan/2018:08:05:17 -0800] "GET /ogPipe.aspx?name=http://www.ntdtv.com/ HTTP/1.1" 301 0 "-" "Mozilla/5.0 (Linux; U; Android 4.3; en-us; SM-N900T Build/JSS15J) AppleWebKit/$ 110.177.75.106 - - [29/Jan/2018:08:05:37 -0800] "GET /ogPipe.aspx?name=http://www.dongtaiwang.com/ HTTP/1.1" 404 3847 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:45.0) Gecko/20100101 Firefox/$ 221.11.229.244 - - [29/Jan/2018:08:05:57 -0800] "GET /ogPipe.aspx?name=http://www.epochtimes.com/ HTTP/1.1" 404 3847 "-" "Mozilla/5.0 (Linux; U; Android 4.3; en-us; SM-N900T Build/JSS15J) Appl$ 182.101.57.39 - - [29/Jan/2018:08:06:03 -0800] "GET /ogPipe.aspx?name=http://www.epochtimes.com/ HTTP/1.1" 404 3847 "-" "Mozilla/5.0 (Linux; U; Android 4.3; en-us; SM-N900T Build/JSS15J) Apple$ 113.128.104.88 - - [29/Jan/2018:08:06:13 -0800] "GET /ogPipe.aspx?name=http://www.epochtimes.com/ HTTP/1.1" 404 3847 "-" "Mozilla/5.0 (Linux; U; Android 4.3; en-us; SM-N900T Build/JSS15J) Appl$ 106.114.65.1 - - [29/Jan/2018:08:06:14 -0800] "GET /ogPipe.aspx?name=http://www.wujieliulan.com/ HTTP/1.1" 404 3847 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:45.0) Gecko/20100101 Firefox/45$ 113.128.104.148 - - [29/Jan/2018:08:06:31 -0800] "GET /ogPipe.aspx?name=http://www.ntdtv.com/ HTTP/1.1" 404 3847 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 9_1 like Mac OS X) AppleWebKit/601.1.46$ 114.221.124.84 - - [29/Jan/2018:08:06:45 -0800] "GET /ogPipe.aspx?name=http://www.ntdtv.com/ HTTP/1.1" 404 3847 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 9_1 like Mac OS X) AppleWebKit/601.1.46 $ 172.104.108.109 - - [29/Jan/2018:08:17:50 -0800] "GET / HTTP/1.1" 302 830 "-" "Mozilla/5.0"（这些都不是我的IP，这就是我将它们放在那里的原因。）

我使用IP查找网站查看它们的位置。有没有人对我应该做什么有任何建议？

Answer 1

这是来自GFW的新探测器。

https://example.com/ogPipe.aspx是在中国建立一些封锁新闻网站的工具。（你可以在日志行中看到目标网站）

GFW会检测/找出它。

这是我3天的搜索结果。

remote_ip.png

user_agent.png

探针的特征。

1. 源IP是一次性地址
2. 用户代理模拟到Chrome / Safari / Firefox
3. TLS协议是TLSv1.2

Answer 2

简短的回答：忽略它们。

答案很长：黑客想要滥用的各种Web服务器/应用程序框架中存在大量漏洞。那些原始IP可能不是黑客本身，而是黑客远程控制的一些恶意软件/特洛伊木马的受害者。黑客利用这些受害者挖掘你的服务器是否容易受到更有希望的奖励，例如：访问您的数据库或密码。如果您要托管.net框架应用程序，请仔细查看任何漏洞公告并应用安全修补程序（如果有）。特别是如果你有一个“ogPipe.aspx”文件服务，你应该检查其中的每一行代码，看看是否存在安全漏洞。如您的服务器日志中所示，它响应了http代码404，这意味着您不提供ogPipe.aspx，因此您是安全的。作为一种流行的安全建议，请密切关注任何漏洞公告（来自您的软件供应商，例如Apache / Microsoft），并应用安全补丁（如果有）。