Ho un piccolo VPS in esecuzione su nginx, e da molto tempo ormai (da diversi mesi, da quando l'ho noleggiato) ha collezionato strane voci nel suo default (ascolta 80 default;) log di vhost:
109.x.x.121 - - [07/Dec/2012:07:42:43 +0100] "GET /webpanel/gate.php HTTP/1.1" 404 168 "-" "WICKED"
ce ne sono molti, da alcuni IP diversi
# grep WICKED /var/log/nginx/x.access.log | awk '{print $1}' | sort | uniq | wc -l
18
Ci sono anche quelli ricorrenti, come questo che esegue il polling del server ogni minuto
95.x.x.4 - - [07/Dec/2012:08:17:35 +0100] "-" 400 0 "-" "-"
95.x.x.4 - - [07/Dec/2012:08:18:37 +0100] "-" 400 0 "-" "-"
95.x.x.4 - - [07/Dec/2012:08:19:39 +0100] "-" 400 0 "-" "-"
finché non si arresta. Secondo il suo PTR e le informazioni whois, questo particolare IP appartiene a una gamma di dinamiche di una compagnia di cavi tedesca, quindi probabilmente non è un servizio di monitoraggio.
Ora, ecco la mia domanda, cosa sto guardando?
L'IP veniva usato in una sorta di branco di bot prima di averlo capito? O forse il mio server è stato compromesso? Queste voci apparivano quando avevo solo sshd e nginx che servivano i siti statici, quindi praticamente nulla da sfruttare.
EDIT: sì, ho gonfiato i numeri involontariamente perché ho dimenticato di ordinare, risolto.