一段来自IIS日志可疑访问行为的解决思路
最近一段时间,对网站访问日志关注比较多,一来担心网站安全问题,因为互联网中网站被攻击或者挂马的现象实在是太多了,很多网站动不动就被攻击或者被黑了;二来也是出于网站运营的正常管理考量,所以每隔几天就查看网站访问日志,还是很有必要的。
今天再一次按正常惯例查看网站IIS访问日志,突然发现一个很奇特的现象,那就是有一个爬行记录,居然访问了网站某个被屏蔽了的路径,其日志代码如下:
05:35:08 172.18.1.240 GET /***/*** - 80 - 180.163.220.67 Mozilla/5.0+(Linux;+U;+Android+8.1.0;+zh-CN;+EML-AL00+Build/HUAWEIEML-AL00)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Version/4.0+Chrome/57.0.2987.108+baidu.sogo.uc.UCBrowser/11.9.4.974+UWS/2.13.1.48+Mobile+Safari/537.36+AliApp(DingTalk/4.5.11)+com.alibaba.android.rimet/10487439+Channel/227200+language/zh-CN 200 0 0 125
这个很奇怪,这个路径按常规来说是没人知道,也不会有蜘蛛来进行爬行,那么这是怎么被发现的呢?
于是我通过对来访IP进行反查询,得知这个IP段并非本地IP,也就是说,这个访问记录,并非来自公司同事,那么这是怎么回事呢?
通过继续对代码的分析,可以看出这个来访者是通过手机安卓端进行访问的(当然也有可能是伪装成安卓端来进行爬行访问),而且奇怪的是,居然会有badiu、sogo、alibaba等字样。
于是百度查询了一下。
通过对常见手机的useragent识别代码来看,其访问客户端来自华为手机安卓系统UC浏览器。因为其手机的useragent正是这样的代码情况:
Mozilla/5.0 (Linux; U; Android 8.1.0; zh-CN; EML-AL00 Build/HUAWEIEML-AL00) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/57.0.2987.108 UCBrowser/11.9.4.974 UWS/2.13.1.48 Mobile Safari/537.36 AliApp(DingTalk/4.5.11) com.alibaba.android.rimet/10487439 Channel/227200 language/zh-CN
所以,针对这种可疑的访问情况,暂时用两个方法来进行防范,
一是在config文件中,屏蔽来路的IP段,让这个段的IP无法再次访问网站;
二是修改当前网站的文件夹路径,这一点非常重要。
两个措施做好只有,应该在一定的时间段内,是不会出现可疑的安全隐患了。
