Agente estranho de usuário java em access.log

1

Recentemente, notei uma carga enorme no meu servidor de produção principal, depois de uma análise de log eu me deparei com um grande número desses agentes de usuário originados de cerca de 20 IPs diferentes:

173.244.182.194 - - [07 / May / 2013: 16: 26: 17 +0200] "GET / HTTP / 1.1" 302 490 "-" "Java / 1.6.0_26" 173.244.182.194 - - [07 / May / 2013: 16: 26: 18 +0200] "GET / HTTP / 1.1" 200 17376 "-" "Java / 1.6.0_26"

Supondo que era algum tipo de ferramenta de captura de tela, eu consegui bloquear esses agentes de usuário com o fail2ban.

Agora estou perplexo, uma vez que o tempo de proibição expirou, as solicitações dos IPs começam de novo e de novo. Atualmente estou bloqueando cerca de 10 IPs por dia.

O que é isso? Os IPs são originários de servidores e de usuários individuais, é um evento normal (como os servidores infectados que constantemente tentam se conectar com o SSH) se eu me preocupar com a segurança do meu servidor?

    
por DoesNotCompute 08.05.2013 / 10:09

2 respostas

2

Esse User-Agent é o padrão quando o Java faz uma solicitação HTTP. Isso indica que foi escrito por um programador com preguiça de incomodar a configuração de um User-Agent personalizado.

Mesmo se for um bot legítimo, provavelmente não está bem escrito. Eu ficaria confortável bloqueando isso.

Eu vi o mesmo endereço IP (e vários outros nas proximidades) nos meus próprios registros da Web recuperando URLs com muito spam, como /blog/there-are-some-diablo-3-gold-players.html e também URLs genéricos com um cabeçalho Referer: com aparência de spam que faz parecer que eles são fez uma busca por pornografia.

Eu também vi o envio de solicitações como POST /action/sign_in , que nenhum bot de rastreamento legítimo deveria fazer. Ele também altera seu User-Agent por meio de uma pequena lista de navegadores normais (se um pouco antigos).

    
por 08.05.2013 / 17:20
0

Sim, você deve se preocupar com a segurança do seu servidor. Sugiro continuar bloqueando esses endereços IP.

Se você está preocupado com o login do ssh em particular, você pode usar uma ferramenta como o DenyHosts . Aqui está um HowTo .

    
por 08.05.2013 / 12:57