ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 


  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА












     АРХИВ :: nginx-ru
Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: Атака и 400 Bad Request



> Меня терзают смутные сомнения, не блочу ли я легитимных пользователей по 
> какой-то причине?


Недавно запустил сильно посещаемый сайт, в логе дефолтного виртуального хоста 
вижу нечто похожее:

187.74.215.245 - - [12/Jan/2012:17:43:16 +0000] "-" 400 0 "-" "-" "-"
187.74.215.245 - - [12/Jan/2012:17:43:16 +0000] "-" 400 0 "-" "-" "-"
187.74.215.245 - - [12/Jan/2012:17:43:16 +0000] "-" 400 0 "-" "-" "-"
187.57.22.175 - - [12/Jan/2012:17:43:16 +0000] "-" 400 0 "-" "-" "-"
187.59.230.90 - - [12/Jan/2012:17:43:18 +0000] "-" 400 0 "-" "-" "-"
201.80.170.150 - - [12/Jan/2012:17:43:20 +0000] "-" 400 0 "-" "-" "-"
189.11.191.59 - - [12/Jan/2012:17:43:22 +0000] "-" 400 0 "-" "-" "-"
189.11.191.59 - - [12/Jan/2012:17:43:22 +0000] "-" 400 0 "-" "-" "-"
187.67.213.161 - - [12/Jan/2012:17:43:22 +0000] "-" 400 0 "-" "-" "-"
187.67.213.161 - - [12/Jan/2012:17:43:22 +0000] "-" 400 0 "-" "-" "-"
209.10.200.2 - - [12/Jan/2012:17:43:23 +0000] "-" 400 0 "-" "-" "-"
189.27.34.174 - - [12/Jan/2012:17:43:23 +0000] "-" 400 0 "-" "-" "-"

У меня несколько зон выдачи по миру с гео-балансером, поэтому я сразу заметил, 
что 400-е ошибки приходят от хостов из соответствующих зон. Например, это 
цитата с сервера, на котором доминирует бразильский трафик - все хосты 
бразильские. На следующем шаге я нашёл эти хосты в логах виртуального сайта, и 
они произвели впечатление легитимных пользователей. У всех юзер-агент вида

Mozilla/5.0 (Windows NT 6.1) AppleWebKit/535.11 (KHTML, like Gecko) 
Chrome/17.0.963.33 Safari/535.11

Я выпал из темы хостинга на несколько лет, поэтому не знаю, что это, Mozilla, 
Chrome или Safari, но AppleWebKit определённо намекает на Mac. :-)

Мне кажется, это категорически нельзя банить, если, конечно, не ставить целью 
выпилить с ресурса всех мако****.

--
Igor Shergin

_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://mailman.nginx.org/mailman/listinfo/nginx-ru


 




Copyright © Lexa Software, 1996-2009.