Тысячи непонятных(пустых) обращений к серверу - логватч паникует - Администрирование серверов - Сайтостроение

M

38

musitann

4 апреля 2013, 07:54

1430

Каждый день приходит отчёт с десятком-двумя тысяч обращений типа ^null$

Анализирует лог nginx-a

Как это понимать? что это?

Attempts to use known hacks by 872 hosts were logged 12474 time(s) from:

85.26.232.197: 473 Time(s)

^null$ 473 Time(s)

84.240.218.185: 389 Time(s)

^null$ 389 Time(s)

217.118.81.21: 348 Time(s)

^null$ 348 Time(s)

217.29.117.104: 241 Time(s)

^null$ 241 Time(s)

83.149.21.239: 220 Time(s)

^null$ 220 Time(s)

83.149.35.117: 200 Time(s)

^null$ 200 Time(s)

85.26.183.243: 185 Time(s)

^null$ 185 Time(s)

88.154.189.231: 172 Time(s)

^null$ 172 Time(s)

213.87.134.10: 170 Time(s)

^null$ 170 Time(s)

217.118.81.18: 164 Time(s)

^null$ 164 Time(s)

213.87.130.172: 148 Time(s)

^null$ 148 Time(s)

54.244.58.51: 144 Time(s)

^null$ 144 Time(s)

79.136.187.225: 134 Time(s)

......................................... до 20.000 строк в каждом отчёте

отвечает nginx как 400

Requests with error response codes

400 Bad Request

null: 12474 Time(s)

388

zexis

4 апреля 2013, 07:57

#1

Обращения на какой порт?

По какому протоколу?

M

38

musitann

4 апреля 2013, 10:43

#2

zexis, это всё при анализе лог nginx-a - access.log

нащёл там тыщи строк типа. но как их понять незнаю

128.68.84.67 - - [04/Apr/2013:06:39:55 +0400] "-" 400 0 "-" "-"

91.203.96.82 - - [04/Apr/2013:06:42:15 +0400] "-" 400 0 "-" "-"

91.203.96.82 - - [04/Apr/2013:06:44:27 +0400] "-" 400 0 "-" "-"

92.243.181.18 - - [04/Apr/2013:06:57:55 +0400] "-" 400 0 "-" "-"

92.243.181.18 - - [04/Apr/2013:06:58:06 +0400] "-" 400 0 "-" "-"

92.243.181.18 - - [04/Apr/2013:06:58:06 +0400] "-" 400 0 "-" "-"

---------- Добавлено 04.04.2013 в 14:53 ----------

одновременно с ними идут и нормальные запросы. по всей видимости это известная "проблема" google Chrome - открывает соединения просто так и отваливается...

говорят что это "нормально", но как это "побороть" не знаю - logwatch присылает по 3000 строк в отчёте с этими "нормальными" обращениями. Возможно можно как-то сказать logwatch-у чтоб он игнорировал строки типа "-" 400 0 "-" "-" ??

388

zexis

4 апреля 2013, 11:17

#3

Есть ли нормальные запросы пользователей с этих IP?

Если нет, то скорее всего это какие то не хорошие боты, которых можно забанить.

523

Den73

4 апреля 2013, 11:18

#4

эти ip у вас уже забанены?

M

173

michaek

4 апреля 2013, 14:47

#5

Den73:
эти ip у вас уже забанены?

гм. а зачем?

523

Den73

4 апреля 2013, 15:07

#6

michaek:
гм. а зачем?

не, я про то что если ип забанены то в логи может сыпаться 400.

M

38

musitann

4 апреля 2013, 15:11

#7

Den73, IP не забанены, одновременно идут обычные обращения к серверу. По всей видимости шум создаёт Google Chrome

Мне бы хотя бы не избавиться от этого шума, а logwatch заставить не обращать внимания на этот шум.

523

Den73

4 апреля 2013, 15:16

#8

musitann:
Den73, IP не забанены, одновременно идут обычные обращения к серверу. По всей видимости шум создаёт Google Chrome

Мне бы хотя бы не избавиться от этого шума, а logwatch заставить не обращать внимания на этот шум.

man logwatch посмотрите, я не пользуюсь им.

388

zexis

4 апреля 2013, 16:25

#9

Den73:
не, я про то что если ип забанены то в логи может сыпаться 400.

Если IP забанены. То даже кода ошибки 400 не должно быть.

523

Den73

4 апреля 2013, 16:58

#10

zexis:
Если IP забанены. То даже кода ошибки 400 не должно быть.

как раз таки может быть если у тс-а есть софт который банит адреса в результате чего ломает поступившие запросы а веб сервер их распознает как не валидные/не полные.

но тут у него вероятно другой случай, тоесть обыкновенные прерванные запросы от клиентов.

я у себя иногда наблюдаю 400 если работает программа которая банит адреса по каким либо причинам.

Что делать, чтобы попасть в ответы Google Bard

В 2023 году Google заблокировал более 170 млн фальшивых отзывов на Картах

Тысячи непонятных(пустых) обращений к серверу - логватч паникует