"WICKED" voci nei log di nginx vhost predefiniti

3

Ho un piccolo VPS in esecuzione su nginx, e da molto tempo ormai (da diversi mesi, da quando l'ho noleggiato) ha collezionato strane voci nel suo default (ascolta 80 default;) log di vhost:

109.x.x.121 - - [07/Dec/2012:07:42:43 +0100] "GET /webpanel/gate.php HTTP/1.1" 404 168 "-" "WICKED"

ce ne sono molti, da alcuni IP diversi

# grep WICKED /var/log/nginx/x.access.log | awk '{print $1}' | sort | uniq | wc -l
18

Ci sono anche quelli ricorrenti, come questo che esegue il polling del server ogni minuto

95.x.x.4 - - [07/Dec/2012:08:17:35 +0100] "-" 400 0 "-" "-"
95.x.x.4 - - [07/Dec/2012:08:18:37 +0100] "-" 400 0 "-" "-"
95.x.x.4 - - [07/Dec/2012:08:19:39 +0100] "-" 400 0 "-" "-"

finché non si arresta. Secondo il suo PTR e le informazioni whois, questo particolare IP appartiene a una gamma di dinamiche di una compagnia di cavi tedesca, quindi probabilmente non è un servizio di monitoraggio.

Ora, ecco la mia domanda, cosa sto guardando?

L'IP veniva usato in una sorta di branco di bot prima di averlo capito? O forse il mio server è stato compromesso? Queste voci apparivano quando avevo solo sshd e nginx che servivano i siti statici, quindi praticamente nulla da sfruttare.

EDIT: sì, ho gonfiato i numeri involontariamente perché ho dimenticato di ordinare, risolto.

    
posta Damn Terminal 07.12.2012 - 20:41
fonte

1 risposta

2

Gli ultimi due campi sono i campi referrer e user agent ( riferimento nginx ). Normalmente vedresti qualcosa come un browser (Mozilla), un bot di ricerca (Googlebot), un programma a riga di comando ("Wget", "arricciatura") ecc. Chiunque stia eseguendo qualcosa contro il tuo server utilizza "WICKED" come stringa di user agent.

    
risposta data 08.12.2012 - 00:29
fonte

Leggi altre domande sui tag