Странные запросы в логе сервера

avm-pr avm-pr  
14
  01.05.2021 08:33       1 006     Помощь  

Обнаружил сегодня серию странных автоматизированных запросов в логе своего сервера. Выглядят так:

185.220.102.243 - - [01/May/2021:00:07:18 +0500] "GET /wp-config.php.txt HTTP/1.1" 301 169 "https://www.google.com/search" "Mozlila/5.0 (Linux; Android 7.0; SM-G892A Bulid/NRD90M; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/60.0.3112.107 Moblie Safari/537.36"
185.220.102.243 - - [01/May/2021:00:07:18 +0500] "GET /wp-config.php.b HTTP/1.1" 301 169 "https://www.google.com/search" "Mozlila/5.0 (Linux; Android 7.0; SM-G892A Bulid/NRD90M; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/60.0.3112.107 Moblie Safari/537.36"
185.220.102.243 - - [01/May/2021:00:07:18 +0500] "GET /_wpeprivate/config.json HTTP/1.1" 301 169 "https://www.google.com/search" "Mozlila/5.0 (Linux; Android 7.0; SM-G892A Bulid/NRD90M; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/60.0.3112.107 Moblie Safari/537.36"

Всего около 60 однотипных запросов подряд с одного IP. Пробил IP-адрес - The Onion Routing. Похоже, что какой-то идиот ищет уязвимости Wordpress, которого на моём сервере нет, нет даже php. Вопрос в следующем... Можно ли как-то вычислить реальный IP-адрес засранца? И стоит ли что-то предпринять в плане безопасности? Может сделать в мапере соответствующий url и рассказать в респонсе всё что я об этом дятле думаю?


Ответы на пост (3) Написать ответ
Eserador Eserador
1300
01.05.2021 14:34
ИП принадлежит Онион роутинг (Тор браузер).
Блок ИП ни к чему не приведет - нажатие одной кнопки и будет заход с нового.
Можно, конечно, блочить целый хост, но это с другой стороны тож не очень хорошо.
Тем более, они все равно найдут другие пути))
У меня вон пробивают /wp-login.php и /wp-includes/wlwmanifest.xml регулярно, хотя ситуация та же - Вордпресса нет и никогда там он не стоял. Хосты самые разные - от американских seo-шараг до хостов амазона и гугл VM.

0
Решение
wprazor wprazor
385
01.05.2021 16:06
у меня список заблокированых ip обнуляется раз в сутки. Решил что, зачем ботам грузить страницу 404, если можно просто отдать 403.
0
wprazor wprazor
385
01.05.2021 13:28
Наивно полагать что это человек. Скрипт парсит сотни сайтов. Просто молча баню автоматом своим скриптом их IP и не парюсь.
0