He configurado un servidor nginx literalmente hace una hora. Está abierto al mundo pero no está en producción. No hay ningún CNAME u otros registros de DNS asociados con la dirección IP del servidor todavía.
En el archivo acceess.log veo lo siguiente:
163.172.7.162 - - [18/Jan/2017:00:51:23 +0000] "GET http://proxyjudge.info/ HTTP/1.1" 400 270 "-" "Mozilla/5.0 (Win
dows; U; Windows NT 6.1; en-US; rv:1.9.2.28) Gecko/20120306 Firefox/3.6.28 (.NET CLR 3.5.30729)"
163.172.7.162 - - [18/Jan/2017:00:51:48 +0000] "\x04\x01\x00P\xC62\x83\x9C0\x00" 400 172 "-" "-"
163.172.7.162 - - [18/Jan/2017:00:51:48 +0000] "\x04\x01\x00P\xC62\x83\x9C0\x00" 400 172 "-" "-"
163.172.7.162 - - [18/Jan/2017:00:51:48 +0000] "\x05\x01\x00" 400 172 "-" "-"
Tengo un par de preguntas:
-
¿Cuál es el propósito del sondeo de
proxyjudge.infode mi servidor? Eché un vistazo a su sitio web, pero no puedo averiguar su intención. Creo que me gustaría saber si es malicioso o no. -
Después del primer golpe, envió varias solicitudes a la url como
\x05\x01\x00. ¿Qué se puede descubrir de esta solicitud?
No puedo encontrar ninguna información sustancial a través de la búsqueda de Google. Basado en http://mxtoolbox.com/ , la IP de origen no está en la lista negra. El problema más importante para mí es que no sé cómo juzgar si un determinado tráfico a mi servidor es riesgoso o no.