0°

向网站请求不存在的资源意义何在?

向网站请求不存在的资源看似没有危害,其实是个很大的隐患,细心的站长可能发现了这类请求都是以GET请求的方式来发送的请求,百十个的请求量对于现在最普通的VPS服务器来说是毫无压力,问题是一旦这个请求量增加或者瞬间大量请求,对于服务器来说就是一次不亚于DDoS攻击的伤害。再有就是那句俗话“不怕贼偷就怕贼惦记”,经常被人遍历漏洞和疏忽总不是一件好事儿了

经常关注站点 Nginx 日志的站长们应该都见过如下图所示的各种不存在资源的请求,并且每天都会有,并且几乎都是随机 IP 的请求,哪怕是都返回了 404 错误代码依旧每天都来,可以说是顽固之极。很多站长都不明白这类“请求不存在的资源”的意义何在?今天明月就给大家说道说道。

向网站请求不存在的资源意义何在?

head 是 http 中像 GET、POST 一样的请求方式,与 GET 不同的是:客户端向服务器发送 HEAD 请求。服务器只会返回页面的 head 头部部分,这就比请求页面主体部分快得多。

上面网站日志记录的 IP 显然是通过 HEAD 扫描我的网站根目录中可能的 zip、HTML 等文件,通过 HTTP 状态码,攻击者就可以知道它随机扫描的文件是否存在,如果存在的话就进行下载。当然,日志中清一色的 404(请求的资源不存在)说明攻击者并没有得逞:获取我网站上“他想要”的文件,然而密集的请求却导致了主机耗用资源加大了很多

向网站请求不存在的资源意义何在?

可能你认为即使下载几个文件并无大碍,但是可以发现攻击者想要下载的文件名看似随机其实大有文章。

以.zip 文件为例分析一下这种请求行为的危害

web、wwwroot、www 是网站根目录常见用名,包括明月在内的广大站长可能经常会将自己网站上的文件进行定期备份、全选然后压缩。就像在 计算机上压缩几个文件夹或文件一样,创建的压缩文件名往往和根目录相同。所以攻击者恶意遍历可能的 根目录名.zip,然后试图下载你的网站备份文件。而以 wordpress 建站系统为例,你的备份文件中的某些文件(wp-config.php)就记录了你的 FTP 和数据库密码,可以说,知道了 FTP 和数据库密码,你的网站意味着全线沦陷。

至于说图片中那些各种格式、不存在的文件请求原来跟上述.zip 是一个目的,仔细看上面的日志截图可以看出有些文件前面还带有目录,所有的这一切看似无伤大雅的“请求不存在的资源”最终目的都是遍历出你的站点的“漏洞”以及疏忽造成的中重要文件代码以达到不可告人的目的。

向网站请求不存在的资源意义何在?

向网站请求不存在的资源带来的隐患

向网站请求不存在的资源看似没有危害,其实是个很大的隐患,细心的站长可能发现了这类请求都是以GET 请求的方式来发送的请求,百十个的请求量对于现在最普通的 VPS 服务器来说是毫无压力,问题是一旦这个请求量增加或者瞬间大量请求,对于服务器来说就是一次不亚于 DDoS 攻击的伤害。再有就是那句俗话“不怕贼偷就怕贼惦记”,经常被人遍历漏洞和疏忽总不是一件好事儿了,所以明月对这一类的请求都是采取直接屏蔽 IP 的态度,具体操作大家可以参考文章:

Fail2Ban 使用技巧和心得汇总

0567

「点点赞赏,手留余香」

    还没有人赞赏,快来当第一个赞赏的人吧!
2 条回复 A 作者 M 管理员
  1. 赞成,防患于未然,在没形成危害前,就应该把这些掐死在萌芽状态!

    • 是的,指不定啥时候就给来个入侵啥的!

欢迎您,新朋友,感谢参与互动!欢迎您 {{author}},您在本站有{{commentsCount}}条评论