首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Recommended Services
Amazon Web Services
LeanCloud
New Relic
ClearDB
V2EX  ›  云计算

有人频繁试探云主机的 ip_js. PHP 是什么操作?

  •  
  •   yamedie · 10 天前 · 1841 次点击

    用之前 360 元薅的企鹅云 cvm 搭了一个域名缩短服务, 开放 80 端口, 发现日志里有很多奇怪的请求, 如下:

    /ip_js.php?IP=(此处是我主机 IP 地址)&DK=80&DD=NSNIAOUFMOMZJIBA
    /ip_js.php?IP=(此处是我主机 IP 地址)&DK=80&DD=ASNIAOUFMOMZJIBD
    /ip_js.php?IP=(此处是我主机 IP 地址)&DK=80&DD=ASNIAOUFMOMZJIBD
    /ip_js.php?IP=(此处是我主机 IP 地址)&DK=80&DD=ASNIAOUFMOMZJIBD
    /ip_js.php?IP=(此处是我主机 IP 地址)&DK=80&DD=ASNIAOUFMOMZJIBD
    /ip_js.php?IP=(此处是我主机 IP 地址)&DK=80&DD=ASNIAOUFMOMZJIBD
    /ip_js.php?IP=(此处是我主机 IP 地址)&DK=80&DD=ASNIAOUFMOMZJIBD
    /ip_js.php?IP=(此处是我主机 IP 地址)&DK=80&DD=NSNIAOUFMOMZJIBA
    /ip_js.php?IP=(此处是我主机 IP 地址)&DK=80&DD=NSNIAOUFMOMZJIBA
    /ip_js.php?IP=(此处是我主机 IP 地址)&DK=80&DD=NSNIAOUFMOMZJIBA
    /ip_js.php?IP=(此处是我主机 IP 地址)&DK=80&DD=ASNIAOUFMOMZJIBD
    /ip_js.php?IP=(此处是我主机 IP 地址)&DK=80&DD=NSNIAOUFMOMZJIBA
    

    根本不存在这个 php, 为何还在频繁试探请求? DD=后面跟的是穷举密码吗? 为何还总是那几个在重复? 实在想不通, 网上搜索 ip_js.php 也没有结果

    已经针对含有".php?"的请求, response 返回一句问候的话了, 还是不停, 不想上 fail2ban, 让他请求去吧..后续考虑给他上 301 永久重定向

    14 回复  |  直到 2018-07-12 20:16:22 +08:00
        1
    MeteorCat   10 天前 via Android
    专门建立个 ip_js.php 文件死循环,看谁耗的过谁
        2
    jyf   10 天前
    显然是想利用你的服务器做放大攻击 只不过他数据有误 以为你有那个服务而已
        3
    yamedie   10 天前
    @MeteorCat 怎么建死循环? 我没法确定对方是用浏览器发起的请求, 很大可能是通过工具, 或其他僵尸主机作为跳板 (对了, 我没记录访问者的 ip 地址, 先去加一下)
        4
    opengps   10 天前 via Android
    都是些自动寻找某个特点的机器发的
        5
    gamexg   10 天前
    302 跳转到超大文件。
        6
    joejhy   10 天前 via iPhone   ♥ 1
    @yamedie, 我查了下这个 ip_js.php ,应该是一个 IP 查询地址的程序,可以参考比如 http://dl.pconline.com.cn/download/1619887.html

    如果部署了这个程序,那么访问 /ip_js.php?IP=(此处是我主机 IP 地址)&DK=80&DD=NSNIAOUFMOMZJIBA 就可以访问信息,反之 404,对方估计是想探测哪些服务器使用了这个程序,猜测这个程序存在漏洞可以被利用,黑客可能是探测可攻击目标,至于为什么是你的机器 IP 可能就没有特殊含义,黑客应该是有一个 IP 列表,取列表中的 IP 去构造请求 URL,于是乎正好就用探测目标的 IP 作为要查询 IP 构造到扫描 URL 里,建议可以屏蔽掉扫描 IP
        7
    yamedie   10 天前
    @joejhy 感谢大神解惑!
        8
    ysc3839   10 天前 via Android
    也许可以试试 gzip 炸弹让对方程序崩溃?
        9
    hjdtl   10 天前
    我也有疑问,老是有人访问奇怪的文件,这是什么意思?
    https://imgchr.com/i/PuHTqU
    https://s1.ax1x.com/2018/07/12/PuHTqU.png
        10
    yamedie   10 天前
    @hjdtl 这种奇怪的 get 请求路径在我 log 里也有(如下), 我搞不懂他们是怎么请求的, 因为正常请求都应该是以 /开头的, 为何能访问我 80 端口并留下一个绝对路径的 get 请求... 我果然还是不懂 http 的一分一毫

    http://proxyjudge.info/azenv.php
    http://clientapi.ipip.net/echo.php?info=1234567890
    http://180.163.113.82/check_proxy
    http://46.161.9.31/echo.php
        11
    nu11001   10 天前
    @yamedie 这是检测 HTTP 代理的
        12
    zencoding   10 天前
    ban 掉
        13
    lolizeppelin   10 天前 via Android
    这就和你没 phpadmin 照样一堆 phpadmin 访问一个道理
        14
    Oceanhime   9 天前
    应该比较常见吧, 比如说 Windows 主机(无 SSH)经常被访问 22 端口爆破密码, 没有安装 Wordpress 还是被访问 wp-login.php 进行 wp 密码爆破一样, 但这个程序有些小众。其实和上面的例子是差不多的。

    另外, 我看了一下刚刚 @joejhy #6 所附带的那个程序, 里面没有 $_GET 也没有出现 LZ 提到的 get 参数 'dk' 'ip' 等等, 应该不是这个程序。 (也有可能是老版本)
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   鸣谢   ·   实用小工具   ·   1720 人在线   最高记录 3541   ·  
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.1 · 19ms · UTC 06:49 · PVG 14:49 · LAX 23:49 · JFK 02:49
    ♥ Do have faith in what you're doing.
    沪ICP备16043287号-1