Много запросов на один и тот же URL на новый IP-адрес
Только что получил новый VPS с двумя IP-адресами. Я получаю тонну запросов от нескольких разных клиентских IP-адресов по одному пути на одном из IP-адресов, почти по одному в секунду. Путь "/lzb/gz.php". Есть идеи, что это? И я должен быть обеспокоен? Стоит ли запрашивать новый IP-адрес у моего провайдера VPS или просто надеяться, что со временем громкость уменьшится?
К вашему сведению, я запускаю nginx в качестве обратного прокси для apache2. VPS поставлялся с запущенным apache2, и запросы на "/lzb/gz.php" запускались сразу после покупки согласно журналам apache2. Когда я включил nginx, запросы начали появляться в логах nginx. Я почти уверен, что запросы ограничены одним из двух IP-адресов, потому что у меня есть уникальные журналы доступа и ошибок, настроенные для виртуального хоста, который я пробовал на обоих IP-адресах, и запросы отображаются в этих журналах только тогда, когда виртуальный хост прослушивает на IP-адрес, о котором идет речь. И apache2, и теперь nginx возвращают 404, но я все еще обеспокоен объемом запросов по тому же пути и потенциальными последствиями для безопасности.
2 ответа
/lzb/gz.php не выскакивает как что-то гнусное. Похоже, это файл в пакете брандмауэра xwall, поэтому, возможно, бывший владелец этого IP-адреса запускал это приложение.
У меня есть три варианта, которые я вижу:
- Вы наверняка можете запросить новый IP у вашего провайдера, если это вас беспокоит, но один запрос в секунду не вызывает беспокойства.
- Сбросьте трафик с помощью брандмауэра вашего сервера. Я думаю, что это самый быстрый и эффективный вариант, если только пропускная способность, используемая ошибочными входящими соединениями, не начинает расходовать ваше пособие.
- Я думаю, что лучшим долгосрочным решением будет отслеживание исходного IP-адреса и выяснение, есть ли оператор сети, с которым вы можете поговорить о запросах. Возможно, это всего лишь несколько других систем, которые ранее полагались на сервисы, предоставляемые по вашему IP-адресу. В этом случае у вас есть приличный шанс отследить вещи до создателей.
- Хорошо, я солгал, есть четвертая возможность, но это не очень хорошо. Вы можете зарезервировать входящие запросы, используя ограничение скорости iptables, и, возможно, отключить системы, отправляющие трафик. Конечно, если вы используете другую ОС, тогда изучите возможности ограничения скорости своего брандмауэра. Если сообщение отправляющей системы на ваш IP-адрес не отвечает немедленно, или вы отправляете альтернативные ответы обратно, вы можете прервать тайм-аут, что бы ни осуществляло обмен данными, и вызвать достаточно испуга в журналах отправляющей системы, чтобы уведомить человека. Это выстрел снаружи, и далеко не ваш лучший вариант.
Запросы, вероятно, сделаны из сломанного клиента. Вам, вероятно, не нужно беспокоиться, и вы можете воспользоваться советами @WesleyDavid, чтобы устранить это раздражение.
VPS поставлялся с запущенным apache2, и запросы на "/lzb/gz.php" запускались сразу после покупки согласно журналам apache2.
Запросы, вероятно, появились после покупки, потому что ваш поставщик назначил вам IP-адреса и настроил брандмауэр, чтобы разрешить доступ к этим IP-адресам.
Кто-то, вероятно, владел этими IP-адресами до вас, и запросы /lzb/gz.php скорее всего предназначены для сайта, который существовал до вашего. Я доходил до этого, но учтите, что lzb и gz являются общими сокращениями для двух методов сжатия, поэтому возможно, что предыдущий владелец обслуживал сжатый контент. Погуглив, показывает, что gz.php не является необычным именем файла и иногда используется для сжатия данных на лету с помощью PHP.
Google для сайта: your.ip.address / lzw / gz.php может показать, кем был предыдущий владелец, и пролить свет на проблему.