Nginx访问日志:获取zc.qq.com？

Question

我在我的access.log中发现了下面的条目

115.231.222.40 - - [02/Oct/2015:07:57:11] "GET http://zc.qq.com/cgi-bin/common/attr?id=260714&r=0.8936631410048374 HTTP/1.1" 302 160 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; 360SE)"

什么意思？我有必要担心吗？

Answer 1

它看起来像是一个垃圾邮件发送一个无效的请求，或者可能是看您的服务器是否配置错误，以允许代理。

你一定要担心吗？我发现返回302状态代码有点奇怪，就像在302 Found中一样，我希望这样的请求会生成404 Not Found，或者可能是400 Bad Request或403 Forbidden，但是一般来说，这类请求不应该对配置正确的现代服务器造成太大的担忧。

(在您的情况下，我猜想返回302是因为您将404页重定向到单个“未找到”页面？如果是这样的话，那么，是的，你必须担心你的网站的可用性，因为这不是一个好的做法，因为用户没有机会很容易地纠正一个错误的URL，因为它只是消失在空气中，他们将几乎不知道哪里出了问题。)

Answer 2

我在本地服务器上看到了同样的情况。原始IP被列为中国ISP上的一个可能的bot。这可能是针对qq.com的DDOS放大攻击自动扫描的一部分，该系统是某种中国的网络邮件提供商。从URL判断，可能有一个已知的漏洞(占用CPU时间？)反对他们的网络服务器安装。

有很多“可能”的原因，你应该担心吗？-不，但要确保你没有将请求转发到实际的目标域。

Answer 3

几个月来，我每天每隔几个小时将这些请求发送到apache服务器，每次都有不同的id。向列出的域名滥用部门报告的源IP 115.230.124.164和zc.qq.com都经常失败。

我已经部署了一个重写规则，将所有的点击从IP发送回iself。