Ho configurato un server nginx letteralmente un'ora fa. È aperto al mondo ma non è in produzione. Non ci sono ancora CNAME o altri record DNS associati all'indirizzo IP del server.
Nel file acceess.log vedo quanto segue:
163.172.7.162 - - [18/Jan/2017:00:51:23 +0000] "GET http://proxyjudge.info/ HTTP/1.1" 400 270 "-" "Mozilla/5.0 (Win
dows; U; Windows NT 6.1; en-US; rv:1.9.2.28) Gecko/20120306 Firefox/3.6.28 (.NET CLR 3.5.30729)"
163.172.7.162 - - [18/Jan/2017:00:51:48 +0000] "\x04\x01\x00P\xC62\x83\x9C0\x00" 400 172 "-" "-"
163.172.7.162 - - [18/Jan/2017:00:51:48 +0000] "\x04\x01\x00P\xC62\x83\x9C0\x00" 400 172 "-" "-"
163.172.7.162 - - [18/Jan/2017:00:51:48 +0000] "\x05\x01\x00" 400 172 "-" "-"
Ho un paio di domande:
-
Qual è lo scopo del sondaggio di
proxyjudge.infosul mio server? Ho dato un'occhiata al loro sito web ma non riesco a capire le loro intenzioni. Penso che mi piacerebbe scoprire se è malevolo o no. -
Dopo il primo hit, ha inviato diverse richieste all'URL come
\x05\x01\x00. Cosa può essere scoperto da questa richiesta?
Non riesco a trovare alcuna informazione sostanziale tramite la ricerca su google. Basato ion http://mxtoolbox.com/ l'IP sorgente non è nella lista nera. Il problema più grande per me è che non so come giudicare se un determinato traffico verso il mio server sia rischioso o meno.