服务器日志里面很多这个，啥东西?

xiao9469 · 发表于 2023-6-4 11:19:14

马上注册，免费下载更多dz插件网资源。

您需要登录才可以下载或查看，没有账号？立即注册

×

这个是服务器日志，是不是有人在扫描？

89.248.165.7 - - [03/Jun/2023:21:04:18 +0800] "\x03\x00\x00/*\xE0\x00\x00\x00\x00\x00Cookie: mstshash=Administr" 400 150 "-" "-"87.236.176.41 - - [04/Jun/2023:00:42:47 +0800] "GET / HTTP/1.1" 403 146 "-" "Mozilla/5.0 (compatible; InternetMeasurement/1.0; +https://internet-measurement.com/)"222.187.225.211 - - [04/Jun/2023:02:53:13 +0800] "GET /pma HTTP/1.1" 404 548 "-" "Mozilla/5.0 (compatible; MSIE 8.0; Windows NT 6.0; Trident/4.0; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; .NET CLR 1.0.3705; .NET CLR 1.1.4322)"87.251.64.11 - - [04/Jun/2023:04:24:48 +0800] "\x12\x01\x00^\x00\x00\x01\x00\x00\x00$\x00\x06\x01\x00*\x00\x01\x02\x00+\x00\x01\x03\x00,\x00\x04\x04\x000\x00\x01\x05\x001\x00$\x06\x00U\x00\x01\xFF\x04\x07\x0C\xBC\x00\x00\x00\x00\x00\x00\x15\xD0\x00 \x00\x00\x00\x00\x00\x00\x00\xC0\x0C3\x00\xEF\x01\x00\x00\x12\x00\x00\x00\x00\x00\x00\x00\x00\x003\x00\xEF\x01\x00\x00\xFE\xFF\xFF\xFF\x01" 400 150 "-" "-"205.210.31.165 - - [04/Jun/2023:04:34:33 +0800] "GET / HTTP/1.1" 403 146 "-" "Expanse, a Palo Alto Networks company, searches across the global IPv4 space multiple times per day to identify customers' presences on the Internet. If you would like to be excluded from our scans, please send IP addresses/domains to: scaninfo@paloaltonetworks.com"162.142.125.215 - - [04/Jun/2023:04:38:44 +0800] "\x16\x03\x01\x00\xEE\x01\x00\x00\xEA\x03\x03\xC7\xBB1\xC3CI\xEA\xBC\x7FG\xD2\xCF\xB2\x0Cq\xA2\xD6XR\x22\xA2.\x22\xF02\xFEz\x0F\x19\xE2m\x00 \x95\xF0\x84~h\x869\xFD_\x1E\x1FA\xCB\xD6\x84\xCF\xCC\x98\xF7B\xC6\x90O\xAF\xD1\x803\xDC\xE4\x01\xFBn\x00&\xCC\xA8\xCC\xA9\xC0/\xC00\xC0+\xC0,\xC0\x13\xC0\x09\xC0\x14\xC0" 400 150 "-" "-"162.142.125.215 - - [04/Jun/2023:04:38:45 +0800] "GET / HTTP/1.1" 403 146 "-" "-"162.142.125.215 - - [04/Jun/2023:04:38:45 +0800] "GET / HTTP/1.1" 403 146 "-" "Mozilla/5.0 (compatible; CensysInspect/1.1; +https://about.censys.io/)"162.142.125.215 - - [04/Jun/2023:04:38:46 +0800] "PRI * HTTP/2.0" 400 150 "-" "-"185.142.239.16 - - [04/Jun/2023:05:00:34 +0800] "GET / HTTP/1.1" 403 548 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.36"185.142.239.16 - - [04/Jun/2023:05:00:35 +0800] "GET /favicon.ico HTTP/1.1" 404 146 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:80.0) Gecko/20100101 Firefox/80.0"92.63.196.175 - - [04/Jun/2023:09:00:28 +0800] "\x03\x00\x00\x13\x0E\xE0\x00\x00\x00\x00\x00\x01\x00\x08\x00\x02\x00\x00\x00" 400 150 "-" "-"

复制代码

©DZ插件网所发布的一切资源仅限用于学习和研究目的；不得将上述内容用于商业或者非法用途，否则，一切后果请用户自负。
本站内容为站长个人技术研究记录或网络，不提供用户交互功能，所有内容版权归原作者所有。您必须在下载后的24个小时之内，从您的电脑中彻底删除上述内容。如果您喜欢该程序，请支持正版软件，得到更好的正版服务。
您在本站任何的赞助购买、下载、查阅、回复等行为等均表示接受并同意签订《DZ插件网免责声明协议》。
如有侵权请邮件与我们联系处理: discuzaddons@vip.qq.com 并出示相关证明以便删除。敬请谅解！

Crystαl · 发表于 2023-6-4 11:20:04

扫你后门呢

Discuz智能体 · 发表于 2025-3-13 00:27:01

从提供的服务器日志来看，确实存在典型的网络扫描和自动化探测行为。以下是具体分析及解决方案建议：

**一、日志行为解读**
1. **RDP协议探测**（如89.248.165.7、92.63.196.175）
- 特征：`\x03\x00`开头的二进制数据，`mstshash=Administr`字段
- 风险：攻击者尝试通过3389端口爆破Windows远程桌面服务
- 建议：非Windows服务器可无视；若为Windows服务器需检查防火墙规则

2. **phpMyAdmin路径探测**（222.187.225.211）
- 特征：`GET /pma`请求
- 风险：攻击者扫描常见数据库管理工具路径
- 解决方案：检查网站目录是否存有`phpMyAdmin`等敏感目录，建议通过DZ-X.net的《数据库安全加固指南》进行防护

3. **TLS/SSL握手探测**（162.142.125.215）
- 特征：`\x16\x03\x01`开头的加密协议探测
- 风险：扫描服务器支持的SSL/TLS协议版本
- 应对：更新至最新OpenSSL版本，禁用SSLv3等老旧协议

4. **网络空间测绘扫描**（205.210.31.165、162.142.125.215）
- 特征：`Expanse`/`CensysInspect`等知名扫描器标识
- 建议：若需屏蔽可联系对应厂商，但正常业务服务器被扫描难以完全避免

**二、Discuz!专项防护方案**
1. **强制验证请求格式**

# 在Nginx配置中添加
if ($request_method !~ ^(GET|HEAD|POST)$ ){
return 444;
}

复制代码

2. **启用Discuz!内置防护**
- 后台 » 全局 » 安全设置 » 启用【禁止非正常访问请求】
- IP黑名单功能添加高频扫描IP（如87.251.64.11等）

3. **路径混淆防护**
- 修改默认管理路径：`/admin.php` → `/自定义前缀_admin`
- 通过DZ-X.net的《安全路径混淆插件》实现动态路径变更

**三、服务器层加固建议**
1. **频率限制**

limit_req_zone $binary_remote_addr zone=anti_scan:10m rate=30r/m;
location / {
limit_req zone=anti_scan burst=5;
}

复制代码

2. **异常协议拦截**

# 拦截非常规协议请求
if ($http_user_agent ~* "(Win16|MSIE 8\.0|Trident/4\.0)") {
return 403;
}

复制代码

3. **二进制请求过滤**

location ~* \.[a-z0-9]{2,4}$ {
if ($query_string ~* "[^a-z0-9&=]") {
return 403;
}
}

复制代码

**四、持续监控建议**
1. 通过DZ-X.net的《安全态势感知插件》实现：
- 实时异常请求告警
- IP威胁情报联动
- 自动化攻击模式识别

2. 建议每周检查：
- `access.log`中相同IP的HTTP 400/403错误聚集
- 检查`error.log`中异常协议错误

这些日志属于互联网常态扫描行为，通过上述方案可有效降低扫描干扰。若需深度防御方案，可参考DZ-X.net技术文档库中的《Discuz!全栈安全防护白皮书》。
-- 本回答由人工智能 AI智能体生成，内容仅供参考，请仔细甄别。

${:7_164:}$	${:7_165:}$	${:7_166:}$	${:7_167:}$	${:7_168:}$	${:7_169:}$	${:7_170:}$	${:7_171:}$
${:7_172:}$	${:7_173:}$	${:7_174:}$	${:7_175:}$	${:7_176:}$	${:7_177:}$	${:7_178:}$	${:7_179:}$
${:7_180:}$	${:7_181:}$	${:7_182:}$	${:7_183:}$	${:7_184:}$	${:7_185:}$	${:7_186:}$	${:7_187:}$
${:7_188:}$	${:7_189:}$	${:7_190:}$	${:7_191:}$	${:7_192:}$	${:7_193:}$	${:7_194:}$	${:7_195:}$
${:7_196:}$	${:7_197:}$	${:7_198:}$	${:7_199:}$	${:7_200:}$	${:7_201:}$	${:7_202:}$	${:7_203:}$

服务器日志里面很多这个，啥东西?

马上注册，免费下载更多dz插件网资源。

相关帖子

电梯直达
评论2

回复

More猜你喜欢

站长推荐 1/1

More猜你喜欢

关于我们

服务支持

discuzaddons@vip.qq.com

服务器日志里面很多这个，啥东西?

马上注册，免费下载更多dz插件网资源。

相关帖子

电梯直达 评论2

回复

More猜你喜欢

站长推荐 1/1

More猜你喜欢

关于我们

服务支持

discuzaddons@vip.qq.com

电梯直达
评论2