服务器受到攻击网站日志\x80w\x01\x03\x01 和HNAP1 如何停止bot？ [关闭]答案

【问题标题】：Server under attack website logs \x80w\x01\x03\x01 and HNAP1 how do I stop bot? [closed]服务器受到攻击网站日志\x80w\x01\x03\x01 和HNAP1 如何停止bot？ [关闭]
【发布时间】：2014-03-14 18:35:24
【问题描述】：

我在使用共享服务器的 bluehost； mysql 5.5.36 - 有一个空数据库.. Apache 2.2.26, php 版本 5.4.24, x86_64, linus, perl 你们能告诉我这是什么意思吗？我的访问日志显示了这种令人讨厌的行为：

[ip]71.63.199.72 [url]HNAP1 [size] 134 [status] 401 [method]GET [protocol] HTTP/1.1 [referring url] My server address
[ip]71.63.199.72 [url]401 [size] 0 [status] 0 [method]\x80w\x01\x03\x01 [protocol] 162 [referring url] none
[ip]141.212.121.10 [url]404 [size] 0 [status] 0 [method]\x16\x03\x01
[protocol] 406 [referring url] none

任何帮助将不胜感激。 我该如何阻止这种情况？ 有什么东西在吸引黑客吗？我必须对目录进行密码保护（不知道这是否有帮助），但我需要取消密码并确保不尊重该黑客的请求。 1.我如何了解这些请求？ 2.他追求什么？ 3. 叫什么？

另外，我有 cloudflare，但这个家伙似乎绕过了它们。我的 cloudflare 中没有任何威胁，但上面的内容显示在我的网站“最新访问者日志”中。那是因为黑客可以直接访问服务器吗？如果有人能指点我正确的方向，我可以很好地遵循指示。

【问题讨论】：

也许你需要fail2ban 之类的东西来阻止任何这样骚扰你的人。像这样的路过式攻击只是在公共互联网上拥有服务器的一部分。
这通常只是针对特定服务器的自动探测； Strange requests to web server
是的，我在@mario .. 确保这些探测器不会检测到弱密码、隐藏测试文件等漏洞......

标签： php mysql security httprequest

【解决方案1】：

您看到的是格式错误的请求。换句话说，服务器不理解 SSL 握手（可能是因为您没有安装/启用它）。你会注意到之前的方法是method GET，服务器理解握手。您看到的代码是握手的标准开始

https://isc.sans.edu/forums/diary/CSAM+Web+Honeypot+Logs/16718

与不支持 SSL 的 Web 服务器的 SSL 连接

请求中的方法无效\x80w\x01\x03\x01

请求的前几个字节被解释为方法请求。如果客户端使用 SSL，但服务器“没有得到它”，那么服务器将只记录 SSL 的前几个字节信息。在这种情况下，这是 \x80w\x01\x03\x01

【讨论】：

@Machavity 感谢您的回答！我不得不对我的 cpanel 进行核攻击，因为这个人正在进入并更改我的站点的配置。我抹去了一切！我想把他拒之门外，如何防止他再次进入？之前，我安装了一个 ssl。那么，在试图理解这一点时，我应该阅读 http 请求吗？我想学习。
也感谢您提供蜜罐信息！
只要您没有绕过过滤器，您就可以随时在 CloudFlare 中阻止 IP。

【解决方案2】：

如果烦人的机器人从单个 IP 工作，在 Linux 下用 IPTables 阻止它是微不足道的：

 iptables -I INPUT -s 123.321.123.321 -j DROP

其中 123.321.123.321 是一个行为不端的示例地址。

【讨论】：