V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
NGINX
NGINX Trac
3rd Party Modules
Security Advisories
CHANGES
OpenResty
ngx_lua
Tengine
在线学习资源
NGINX 开发从入门到精通
NGINX Modules
ngx_echo
iamzcr
V2EX  ›  NGINX

nginx 出现一堆这样的日志,这是什么鬼东西的请求

  •  
  •   iamzcr ·
    iamzcr · 2021-12-23 09:48:40 +08:00 · 4248 次点击
    这是一个创建于 1102 天前的主题,其中的信息可能已经有所发展或是发生改变。
    nginx 出现一堆这样的日志,这是什么鬼东西的请求,注入?
    127.0.0.1 - - [23/Dec/2021:09:41:24 +0800] "gold6v5\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xFA\x16>\xE3\xD7\x93" 400 166 "-" "-"
    127.0.0.1 - - [23/Dec/2021:09:41:25 +0800] "gold6v5\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xFA\x16>\xE3\xD7\x93" 400 166 "-" "-"
    127.0.0.1 - - [23/Dec/2021:09:41:26 +0800] "gold6v5\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xFA\x16>\xE3\xD7\x93" 400 166 "-" "-"
    127.0.0.1 - - [23/Dec/2021:09:41:27 +0800] "gold6v5\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xFA\x16>\xE3\xD7\x93" 400 166 "-" "-"
    127.0.0.1 - - [23/Dec/2021:09:41:28 +0800] "gold6v5\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xFA\x16>\xE3\xD7\x93" 400 166 "-" "-"
    127.0.0.1 - - [23/Dec/2021:09:41:29 +0800] "gold6v5\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xFA\x16>\xE3\xD7\x93" 400 166 "-" "-"
    127.0.0.1 - - [23/Dec/2021:09:41:30 +0800] "gold6v5\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xFA\x16>\xE3\xD7\x93" 400 166 "-" "-"
    127.0.0.1 - - [23/Dec/2021:09:41:32 +0800] "gold6v5\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xFA\x16>\xE3\xD7\x93" 400 166 "-" "-"
    127.0.0.1 - - [23/Dec/2021:09:41:33 +0800] "gold6v5\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xFA\x16>\xE3\xD7\x93" 400 166 "-" "-"
    127.0.0.1 - - [23/Dec/2021:09:41:34 +0800] "gold6v5\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xFA\x16>\xE3\xD7\x93" 400 166 "-" "-"
    9 条回复    2021-12-23 13:11:23 +08:00
    locoz
        1
    locoz  
       2021-12-23 09:49:49 +08:00 via Android
    批量扫漏洞的,经常有
    iamzcr
        2
    iamzcr  
    OP
       2021-12-23 09:53:27 +08:00
    @locoz 我只要一开 80 ,或者 443 的端口,就产出这样的日志
    iamzcr
        3
    iamzcr  
    OP
       2021-12-23 09:54:24 +08:00
    @locoz 而且都是本地 127.0.0.1 的 ip ,怎么做到的?
    fengjianxinghun
        4
    fengjianxinghun  
       2021-12-23 10:09:50 +08:00
    @iamzcr 如果是阿里云很正常,阿里云有内置后门 alisec 系列
    l4ever
        5
    l4ever  
       2021-12-23 10:20:17 +08:00
    返回 400 了, 管他呢.
    starsky007
        6
    starsky007  
       2021-12-23 11:43:18 +08:00 via Android
    我服务器上 Nginx 每天都有各种扫描,最近还出现了 JNDI
    Mac
        7
    Mac  
       2021-12-23 12:28:42 +08:00
    x03x00x00/xE0x00x00x00x00x00Cookie: mstshash=Administr
    我后台的是扫 ThinkPhp 远程执行漏洞的,IP 都是国外的
    des
        8
    des  
       2021-12-23 12:39:59 +08:00 via iPhone
    你这 ip 好奇怪啊,怎么会是 127.0.0.1 ?
    learningman
        9
    learningman  
       2021-12-23 13:11:23 +08:00
    二进制的扫描呗,几乎不可能成功的,别慌

    127.0.0.1 是因为阿里云的云盾,或者你的某个反代服务没传 real ip
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2480 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 02:42 · PVG 10:42 · LAX 18:42 · JFK 21:42
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.