Solicitud de HTTP sospechosa al servidor nginx en el registro del servidor, ¿qué es?

1

Tengo un servidor nginx ejecutando una instancia y un servidor express / nodejs.

Estaba revisando los registros para ver lo que se estaba solicitando, y noté algunos intentos normales de fallas comunes en cosas como la prensa de palabras, pero lo que me preocupa es:

66.249.79.129 - - [17/Aug/2018:02:54:32 +0000] "GET / HTTP/1.1" 200 209 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
66.249.79.158 - - [17/Aug/2018:02:54:36 +0000] "GET /stylesheets/style.css HTTP/1.1" 200 111 "https://www.fullstackking.com/" "Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; Googlebot/2.1; +http://www.google.com/bot.html) Safari/537.36"
108.178.16.154 - - [17/Aug/2018:03:17:27 +0000] "\x09\x00\x8B\x00\xFE\x00\xFC\x00\xD9\x00\xD9\x00\xF3\x00z\x00j\x00\x17\x00\xFB\x00\x8B\x00\x8E\x00\xF3\x00\xF3\x00\xFE\x00\xEC\x00j\x00\xA7\x00\x8E\x00\x8B\x00H\x00\xEC\x00\xFB\x00z\x00H\x00\x8E\x00\xEC\x00\x8E\x00\xFB\x00\xF3\x00\xF3\x00\x8B\x00\xF3\x00\x8B\x00\xEC\x00\xC5\x00\xFE\x00\xA7\x00\xA7\x00\x09\x00\x09\x00\x09\x00\xA7\x00\xFE\x00j\x00\xC5\x00\xD9\x00\xFB\x00\xB0\x00\x8B\x00j\x00\xEC\x00\x17\x00\xFC\x00j\x00\x09\x00H\x00\xFC\x00\xB0\x00j\x00\x8E\x00\xF3\x00\x8E\x00\xA7\x00\xEC\x00\xFC\x00z\x00\x09\x00\xD9\x00\xF3\x00\xFB\x00\xB0\x00\x8B\x00\xEC\x00\x8E\x00\x17\x00\xD9\x00\xC5\x00\x8B\x00\x8B\x00\xFB\x00\xB0\x00\xF3\x00\x8B\x00\x8E\x00\xD9\x00z\x00H\x00\xFB\x00\xFE\x00\x17\x00\xC5\x00\x8E\x00z\x00\xB0\x00\xA7\x00\xA7\x00\xFB\x00\xB0\x00\x8E\x00\xC5\x00\xB0\x00H\x00\x17\x00\xC5\x00\x8B\x00j\x00\x8E\x00\xEC\x00\xF3\x00\xFE\x00\xD9\x00\xF3\x00\xA7\x00j\x00\xEC\x00\xA7\x00\xB0\x00\x17\x00\xFC\x00H\x00H\x00\x09\x00\x09\x00\x09\x00H\x00\x8E\x00\xCE\x00" 400 182 "-" "-"

Incluí las dos primeras para mostrar cómo deberían ser las solicitudes normales, pero la última solicitud proviene de una IP en los EE. UU. que tiene una calificación de 100% de abuso en este sitio web:

enlace

¿Qué está tratando de hacer con esa serie de hexágonos?

    
pregunta David Kamer 17.08.2018 - 05:35
fuente

1 respuesta

2

Parece que es alguien que está analizando su servidor en busca de vulnerabilidades. Probablemente un bot de algún tipo. No creo que sea algo de qué preocuparse, porque como comentó @immibis, su servidor está haciendo exactamente lo que debería hacer cuando recibe una solicitud como esta.

Las direcciones IP que se enfrentan al público se analizan de forma bastante sistemática en busca de formas de acceso, principalmente mediante bots.

    
respondido por el Andrew Greer 17.08.2018 - 19:22
fuente

Lea otras preguntas en las etiquetas