Seit ein paar Tagen bekomme ich tausende Anfragen aus chinesischen Subnetzen auf einen Webserver. Die Anfragen sind allesamt per GET, auf 2 .ASP Dateien, ohne das weitere Parameter verwendet werden.
Die Anfragen gehen gezielt auf die Domain, die es schon mehrere Jahre gibt und nie etwas anderes als PHP verwendet hat.
Das ganze sieht so aus:
Hat jemand eine Ahnung, nach was hier gescannt wird? Tante Google hat nur Massig Dictonarys ausgespuckt.
Wie man sieht, habe ich die anfragende Subnetze, geblockt, dennoch geht es stumpf weiter. Geblockt wird dabei auf Webserver Ebene:
Die Anfragen gehen gezielt auf die Domain, die es schon mehrere Jahre gibt und nie etwas anderes als PHP verwendet hat.
Das ganze sieht so aus:
Code:
1.1.1.1 - - [19/Apr/2014:07:09:51 +0200] "GET /GuestSave.asp HTTP/1.1" 403 3200 "-" "Mozilla/5.0 (Windows NT 5.1; rv:11.0) Gecko/20100101 Firefox/11.0"
1.1.1.1 - - [19/Apr/2014:07:10:09 +0200] "GET /guestadd.asp HTTP/1.1" 403 141 "-" "Mozilla/5.0 (Windows NT 5.1; rv:11.0) Gecko/20100101 Firefox/11.0"Hat jemand eine Ahnung, nach was hier gescannt wird? Tante Google hat nur Massig Dictonarys ausgespuckt.
Wie man sieht, habe ich die anfragende Subnetze, geblockt, dennoch geht es stumpf weiter. Geblockt wird dabei auf Webserver Ebene:
Code:
#!/bin/bash
newSubnets=''
for ip in `egrep 'guestadd.asp|guestsave.asp' /var/www/domain.tld/log/access.log | grep -v 403 | awk '{print $1}' | sort -u`; do
subnet=`echo $ip | awk -F '.' '{print $1"."$2"."$3".0/24"}'`
if [[ ! `grep $subnet /etc/nginx/blockips.conf` ]]; then
echo $subnet
echo "deny $subnet;" >> /etc/nginx/blockips.conf
newSubnets="$newSubnets
$subnet"
else
echo "Subnet already known: $subnet"
fi
done
if [ "$newSubnets" != "" ]; then
echo "added subnets: $newSubnets"
/etc/init.d/nginx reload
else
echo "no additional subnet"
fi