V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
SakuraSa
V2EX  ›  问与答

这种访问记录是攻击么?

  •  
  •   SakuraSa · 2015-05-18 20:36:58 +08:00 · 3596 次点击
    这是一个创建于 3525 天前的主题,其中的信息可能已经有所发展或是发生改变。
    今天起兴趣翻了翻自己网站的nginx日志,
    结果发现了一些奇怪的记录
    115.221.60.130 - - [21/Mar/2015:01:59:32 +0800] "GET / HTTP/1.0" 200 1763 "-" "-"
    115.221.60.130 - - [21/Mar/2015:01:59:42 +0800] "HEAD / HTTP/1.0" 405 0 "-" "-"
    115.221.60.130 - - [21/Mar/2015:01:59:47 +0800] "TRACE HTTP://localhost HTTP/1.0" 405 172 "-" "-"
    115.221.60.130 - - [21/Mar/2015:01:59:53 +0800] "TRACE / HTTP/1.0" 405 172 "-" "-"
    115.221.60.130 - - [21/Mar/2015:02:00:00 +0800] "\x80\x80\x01\x03\x01\x00W\x00\x00\x00 \x00\x00\x16\x00\x00\x13\x00\x00" 400 172 "-" "-"
    115.221.60.130 - - [21/Mar/2015:02:00:06 +0800] "\x03\x00\x00\x0B\x06\xE0\x00\x00\x00\x00\x00" 400 172 "-" "-"
    115.221.60.130 - - [21/Mar/2015:02:00:18 +0800] "y\x08\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00 CKAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA\x00\x00!\x00\x01" 400 172 "-" "-"
    115.221.60.130 - - [21/Mar/2015:02:00:30 +0800] "\x81\x00\x00D EBENEBFACACACACACACACACACACACACA\x00 EBENEBFACACACACACACACACACACACACA\x00" 400 172 "-" "-"
    115.221.60.130 - - [21/Mar/2015:02:00:43 +0800] "\x00\x00\x00\x85\xFFSMBr\x00\x00\x00\x00\x18S\xC8\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xFF\xFE\x00\x00\x00\x00\x00b\x00\x02PC NETWORK PROGRAM 1.0\x00\x02LANMAN1.0\x00\x02Windows for Workgroups 3.1a\x00\x02LM1.2X002\x00\x02LANMAN2.1\x00\x02NT LM 0.12\x00" 400 172 "-" "-"
    115.221.60.130 - - [21/Mar/2015:02:00:55 +0800] "HELO AMAP" 400 172 "-" "-"
    115.221.60.130 - - [21/Mar/2015:02:01:01 +0800] "USER AMAP" 400 172 "-" "-"
    115.221.60.130 - - [21/Mar/2015:02:01:06 +0800] "\x80\x00\x00(\x18r\xDBZ\x00\x00\x00\x00\x00\x00\x00\x02\x00\x01\x86\xA0\x00\x00\x00\x02\x00\x00\x00\x04\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00" 400 172 "-" "-"
    115.221.60.130 - - [21/Mar/2015:02:01:17 +0800] "\x00\x0C\x00\x00\x10\x00\x00\x00\x00\x00\x00\x00\x00\x00" 400 172 "-" "-"
    115.221.60.130 - - [21/Mar/2015:02:01:29 +0800] "0\x0C\x02\x01\x01`\x07\x02\x01\x02\x04\x00\x80\x00" 400 172 "-" "-"
    115.221.60.130 - - [21/Mar/2015:02:01:41 +0800] "\x00\xA6\x00\x00\x01\x00\x00\x00\x014\x01,\x00\x00\x08\x00\x7F\xFFO\x98\x00\x00\x00\x01\x00\x84\x00\x22\x00\x00\x00\x00\x01\x01(DESCRIPTION=(CONNECT_DATA=(SID=test)(CID=(PROGRAM=)(HOST=__jdbc__)(USER=)))(ADDRESS=(PROTOCOL=tcp)(HOST=162.27.59.135)(PORT=1521)))" 400 172 "-" "-"
    115.221.60.130 - - [21/Mar/2015:02:01:54 +0800] "l\x00\x0B\x00\x00\x00\x12\x00\x10\x00\x00\x00MIT-MAGIC-COOKIE-1\x00\x00\xC6\x174\xB7\x89\xEDe\xC0\x93\xFD\xD8Vf\xFAR@" 400 172 "-" "-"
    115.221.60.130 - - [21/Mar/2015:02:02:07 +0800] "\x00\x00\x01\x06\xFF\xFF\xFF\xFF" 400 172 "-" "-"
    115.221.60.130 - - [21/Mar/2015:02:02:13 +0800] "\x12\x01\x004\x00\x00\x00\x00\x00\x00\x15\x00\x06\x01\x00\x1B\x00\x01\x02\x00\x1C\x00\x0C\x03\x00(\x00\x04\xFF\x08\x00\x00\xC2\x00\x00\x00MSSQLServer\x00\xAC\x07\x00\x00" 400 172 "-" "-"
    115.221.60.130 - - [21/Mar/2015:02:02:24 +0800] "JRMI\x00\x02K" 400 172 "-" "-"
    115.221.60.130 - - [21/Mar/2015:02:02:36 +0800] "< NTP/1.2 >" 400 172 "-" "-"
    115.221.60.130 - - [21/Mar/2015:02:02:48 +0800] "\x005\x00\x00\x01\x00\x00\x00)\x00\x00\x00SQLDB2RA\x01\x00\x00\x00\x00\x00\x07\x00\x01\x00\x02\x00\x01\x00\x00\x00\x01\x00\x00\x80\x00\x00\x00\x01\x04\x00\x00\x00\x01\x00\x00\x80\x01" 400 172 "-" "-"
    115.221.60.130 - - [21/Mar/2015:02:03:00 +0800] ":\x00\x00\x00/\x00\x00\x00\x02\x00\x00@\x02\x0F\x00\x01\x00=\x05\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00/\x00\x00\x00\x00\x00\x00\x00\x00\x00@\x1F\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00" 400 172 "-" "-"
    view raw gistfile1.txt hosted with ❤ by GitHub

    这种访问记录是攻击么?
    是什么原理的攻击呢?
    6 条回复    2015-05-18 21:33:30 +08:00
    airyland
        1
    airyland  
       2015-05-18 20:39:39 +08:00
    不上日志你说个喵喵啊。
    SakuraSa
        2
    SakuraSa  
    OP
       2015-05-18 20:41:06 +08:00
    @airyland
    贴了日志的gist了呀,没有刷出来么?
    ryd994
        3
    ryd994  
       2015-05-18 21:01:07 +08:00 via Android   ❤️ 1
    没事
    有些浏览器会在页面解析之前就预先多开几个连接,等网页解析出来就可以直接请求相关资源了
    有时候开多了就会直接断开,留下的log就这样
    bearice
        4
    bearice  
       2015-05-18 21:10:25 +08:00   ❤️ 1
    一些奇怪的扫描器们在探测你这个端口是什么服务罢了。
    lsylsy2
        5
    lsylsy2  
       2015-05-18 21:20:21 +08:00   ❤️ 1
    HELO AMAP
    < NTP/1.2
    看起来应该是扫描器。
    ihacku
        6
    ihacku  
       2015-05-18 21:33:30 +08:00   ❤️ 2
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2786 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 02:32 · PVG 10:32 · LAX 18:32 · JFK 21:32
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.