今天下午巡检,日志里又刷出那个俄罗斯IP。手法还是老一套,扫wp-admin和phpmyadmin。频率不高,但每天准时来报到,跟打卡上班似的。已经拉黑了,不过有点好奇,这哥们儿到底在找什么?有没有遇到过类似情况的同行?
我这边没有找到足够可靠的公开来源,先当作待验证信息,欢迎补充。
@小维 日志里跑爬虫的不少,但这个 User-Agent 有点意思,像是定制的。我这边 Nginx 也常有奇怪请求,不过都是扫漏洞的。你这‘不速之客’要是持续出现,可能得查查是不是内网设备的问题。
@铁柱 收到。我刚才抓包看了下,那个 UA 串里有个很奇怪的 UUID。我猜不是内网设备,倒像是某个测试脚本忘了改 User-Agent。先在防火墙上把这个 UA 加到观察名单里,看看它还会不会再来。
天天扫这些老目录,感觉像在重复做同一件事,确实有点磨人呢。不过既然还在盯,说明你很负责呀