Solicitações de acesso estranhas

4

Nos meus registros de acesso, tenho alguns pedidos assim:

[18/Dec/2014:10:07:51 +0300] "GET /favicon.ico HTTP/1.1" 301 184 "-" "Mozilla/5.0 (Windows NT 6.1; rv:6.0) Gecko/20110814 Firefox/6.0 Google favicon"

[18/Dec/2014:11:35:11 +0300] "GET http://s1.bdstatic.com/r/www/cache/static/home/img/logos/nuomi_ade5465d.png HTTP/1.1" 301 184 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.3; Trident/7.0; .NET4.0E; .NET4.0C; .NET CLR 3.5.3072; .NET CLR 2.0.50727; .NET CLR 3.0.30729; Tablet PC 2.0)"

o que é isso? Eu deveria estar preocupado com segurança?

    
por madjardi 18.12.2014 / 14:54

3 respostas

4

Não há motivo para preocupação nas entradas de registro que você postou.

O primeiro é uma solicitação para um arquivo de imagem que muitos navegadores usam como ícone ao exibir uma página de seu site ou um favorito.

O segundo pedido é uma tentativa de usar seu servidor como proxy HTTP. No entanto, parece que seu servidor simplesmente ignora a parte do proxy dessa tentativa e, em vez disso, responde como se fosse um site local.

Se quiser ter certeza, você pode testá-lo manualmente usando o telnet. Aqui está o que parece em um dos meus servidores:

$ telnet localhost 80
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
GET http://s1.bdstatic.com/r/www/cache/static/home/img/logos/nuomi_ade5465d.png HTTP/1.1
Host: s1.bdstatic.com

HTTP/1.1 404 Not Found

E aqui está o que parece se eu tentar acessar a raiz do domínio:

$ telnet localhost 80
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
GET http://s1.bdstatic.com/ HTTP/1.1
Host: s1.bdstatic.com

HTTP/1.0 302 Moved Permanently

Ambos os itens acima foram atendidos pelo meu vhost padrão.

No seu caso, eu diria que você tem um vhost padrão configurado para redirecionar tudo para o seu domínio real.

    
por 19.12.2014 / 09:49
5

Ponto de informação - vimos alguns pedidos para este mesmo URI (s1.bdstatic.com) passar por um dos nossos endereços há alguns dias. Então, eu estou relutante em assumir que a solicitação é benigna, embora possa ser apenas alguém usando essa imagem em uma varredura de proxies abertos.

125.64.35.67 1418849297 <internal> GET http://s1.bdstatic.com/r/www/cache/static/home/img/logos/nuomi_ade5465d.png HTTP/1.1
125.64.35.68 1418853519 <internal> GET http://s1.bdstatic.com/r/www/cache/static/home/img/logos/nuomi_ade5465d.png HTTP/1.1
    
por 19.12.2014 / 20:00
1

É uma varredura de proxies abertos. Eu vi alguns nas últimas semanas.

125.64.35.68 - - [05 / Jan / 2015: 03: 54: 36 -0500] "GET link HTTP / 1.1" 403 254 "-" "Mozilla / 4.0 (compatível; MSIE 7.0; Windows NT 6.3; Trident / 7.0; .NET4.0E; .NET4.0C ; .NET CLR 3.5.3072; .NET CLR 2.0.50727; .NET CLR 3.0.30729; Tablet PC 2.0) "

    
por 05.01.2015 / 12:47

Tags