Tengo un nuevo servidor web que ejecuta nginx. El servidor predeterminado está recibiendo solicitudes de 10K + todos los días de los robots rusos. Claramente están buscando algo, pero es difícil decir qué, ya que las solicitudes están parcialmente codificadas en hexadecimal. He intentado decodificarlos, pero todavía no puedo decir cuál es su objetivo. Aquí hay algunos ejemplos:
W \ xF1p \ x8B4 \ x1D \ xFB \ x06 \ xD9 \ xBF \ x82 \ x87 \ xE8 \ xC8 \ xA8 \ x98 \ x9Boj \ xB6'6 \ x15 \ x8B \ x1Ab \ x17 \ x92 \ xC1x2x12 \ xC9 \ xCB {AW \ x14 \ xCB \ x14 \ xDD \ xC9 \ x9F
Q \ xA3q \ xD1 \ x9E \ x93 \ x95 \ xD8 \ xBD_ | > \ x87z \ x95 \ x0Bz $
\ xF3 \ xFA \ xD2s \ xB8 $ \ x11 (q \ xDBk \ x9E \ xEBn \ x22 \ x22 \ xE4N \ x0B \ xFC \ xFC \ xB2 \ xE6 \ xD2 \ x9F \ x81 \ xF4 \ xC2 > xq2 x9F \ xD8u) \ xAE \ x06 {
El servidor devuelve 400 para todas estas solicitudes. En cualquier caso, me gustaría impedir que estos bots realicen estas solicitudes, ya que no quiero que tengan éxito en lo que sea que estén tratando de hacer.
Uso fail2ban pero no está configurado para detener esto. ¿Debo configurar un filtro especial para encontrarlos en los registros? La única coherencia que puedo ver es que todos tienen "\ x ##" donde ## es un código hexadecimal. Sin embargo, no quiero bloquear ninguna solicitud legítima, por lo que el filtro solo tiene que dirigirse a estas solicitudes de bots.
¿Alguna idea sobre cómo hacer esto?