Tengo un pequeño VPS ejecutando nginx, y desde hace mucho tiempo (varios meses, desde que lo alquilé) ha estado recolectando entradas extrañas en su valor predeterminado (escuchar 80 predeterminado;) los registros de vhost:
109.x.x.121 - - [07/Dec/2012:07:42:43 +0100] "GET /webpanel/gate.php HTTP/1.1" 404 168 "-" "WICKED"
hay muchos de ellos, desde unos pocos IP diferentes
# grep WICKED /var/log/nginx/x.access.log | awk '{print $1}' | sort | uniq | wc -l
18
También hay algunos recurrentes, como este que sondea el servidor cada minuto
95.x.x.4 - - [07/Dec/2012:08:17:35 +0100] "-" 400 0 "-" "-"
95.x.x.4 - - [07/Dec/2012:08:18:37 +0100] "-" 400 0 "-" "-"
95.x.x.4 - - [07/Dec/2012:08:19:39 +0100] "-" 400 0 "-" "-"
hasta que se detenga. Según su PTR y su información de Whois, esta IP particular pertenece a un rango de dynip de alguna compañía de cable alemana, por lo que probablemente no sea un servicio de monitoreo.
Ahora, aquí está mi pregunta, ¿qué estoy mirando?
¿Estaba siendo utilizada la IP en algún tipo de botín antes de que la obtuviera? O tal vez mi servidor fue comprometido? Esas entradas aparecían cuando solo tenía sshd y nginx sirviendo sitios estáticos, así que prácticamente no hay nada que explotar.
EDITAR: sí, he inflado los números sin querer porque me olvidé de ordenar, corregido.