求救!网站被黑!PM2 logs
发布于 8 年前 作者 weiFans 5940 次浏览 来自 问答

5BBD9903-691D-4C26-99EE-983F997F1B32.png

linux服务器,node.js pm2, 今天发现pm2 logs中出现了大量的不相关的log,都是和我的网站不相关的,而且都是完整的请求地址 十分焦急,是不是被黑了,为什么这么多莫名的请求地址!求救求救~

18 回复

不要太惊小怪 正常的,天天有人爬可能有漏洞的接口

应该不是被黑,应该是爬虫或者搜索引擎请求的。 你看都是 百度,赶集,37,bilibili,这些都是大公司啊,不可能黑你网站!

手动请求, 看看返回了什么东东补救晓得了.

不知道楼上怎么判断是爬虫的? @imhered @Neil-UWA 这个人的应该是个Server, 请求这些地址为什么这个服务器会返回200? 如果没有相应的地址不是404吗? 还是说这台服务器发出的请求?

@Neil-UWA 还是有冷汗,这是接口服务器,能屏蔽掉爬虫吗

@qianguozheng 对,我也觉得很奇怪,这些请求都不是我程序发出的,居然写到了logs中了

@weiFans 可以屏蔽掉爬虫, 在 nginx 代理层做一下设置即可

服务器自己发出来来的请求,这是代理服务器?

@reverland 没用代理

@Cococ 不是服务器发出来的,都是不相关的网址,没用代理服务器啊,亲

1. 发送到正常网站的HTTP请求是`/`开头的,比如倒数第二行的HEAD请求
2. 发送到代理服务器的请求是完整的URL地址,比如图片中的GET请求
3. GET 请求返回的数据大小都是3.37kb,返回的数据不变,另有一个POST是404,一个HEAD是200,你的服务器应该正常处理了
4. 图中暴露了一个my.37.com的游戏网站,每一个URL请求的参数里都包含了用户名和密码,明文,我尝试了能够成功登录

我的一个猜测是,你不是被黑,而是有人把你的服务器当成代理服务器了,可能你的IP被他从某个代理IP网站抓下来的未经验证就自动使用了 另一个猜测是,这个人批量使用代理撞库破解my.37.com的用户名和密码

get 登陆有风险啊,我是来学习的…

@ayiis 很有可能,不过我觉得这个也可能是前端的漏洞,没有禁止跨域访问,LZ是不是做好的CORS以及CSP的配置呢

不知道你这个具体什么问题。 我遇到过得情况是,有些骇客会写一些自动化扫描漏洞的工具,测试各种可能有漏洞的URL,测一万个站点总会有一个有漏洞吧。。。

@ayiis @wfsovereign @zylqmjforever @libook @joney-pinkman 程序可以保证是干净的,前端也没有植入脚本,以前一直用nginx代理,前几天卸了,没用nginx,一直裸奔,今天装上nginx瞬间干净了!

@ayiis @wfsovereign @zylqmjforever @libook @joney-pinkman 项目越来越大了,也是第一个node.js项目,大家有什么安全问题,需要配置地方分享一下哈,多谢多谢

nodejs的漏洞吗,被人安装上了代理

回到顶部