Dziwne Bittorrent Zaloguj się do mojego serwera

11

Nie wiem, czy poniższy dziennik ma coś wspólnego z czasem, gdy moja witryna nie działa. Mam wiele stron internetowych na moim serwerze i nie mają żadnych dzienników takich jak:

117.169.1.85 - - [03/Jan/2015:23:21:37 +0800] "GET /announce.php?info_hash=%D0%A2M%CE%13%21H%D4%11%0C%8C%27%22%C83%B4%A3l%92%15&peer_id=%2DSD0100%2D%C50%95xmh%9B%13%7C%D42%F7&ip=39.178.24.33&port=14940&uploaded=3893629&downloaded=3893629&left=1369695469&numwant=200&key=1490&compact=1 HTTP/1.1" 404 162 "-" "Bittorrent"
115.231.228.252 - - [03/Jan/2015:23:21:37 +0800] "GET /announce.php?info_hash=%DE%82%BC%CFBmH%29e%FD%25%ED6b%F2%2DX%EE%BE%21&peer_id=%2DSD0100%2D%BF3%DAG%83%1F%DAGnV%E3%C8&ip=118.134.134.210&port=13567&uploaded=675282944&downloaded=675282944&left=80740352&numwant=200&key=7916&compact=1 HTTP/1.0" 404 162 "-" "Bittorrent"
115.231.228.252 - - [03/Jan/2015:23:21:37 +0800] "GET /announce?info_hash=%DE%82%BC%CFBmH%29e%FD%25%ED6b%F2%2DX%EE%BE%21&peer_id=%2DSD0100%2D%BF3%DAG%83%1F%DAGnV%E3%C8&ip=118.134.134.210&port=13567&uploaded=675282944&downloaded=675282944&left=80740352&numwant=200&key=16205&compact=1 HTTP/1.0" 404 20283 "-" "Bittorrent"
123.123.126.154 - - [03/Jan/2015:23:21:37 +0800] "GET /announce.php?info_hash=%AA%21U%8F%7F%BA%DC%8F%D2%A5%B5A%7B%26t%F7%2A%FF%1E%8C&peer_id=%2DSD0100%2D%91%11%E7%11G%7B%8C%EB%14Y%2B%26&ip=123.123.126.154&port=12070&uploaded=129742857&downloaded=129742857&left=85310&numwant=200&key=11590&compact=1 HTTP/1.0" 404 162 "-" "Bittorrent"
114.86.129.8 - - [03/Jan/2015:23:21:37 +0800] "GET /announce.php?info_hash=%9A%90s%DCK%29%93%05%FE%BA%E6%D3%7D%03%12%25l%B0%B8k&peer_id=%2DSD0100%2D%20%80%3FRw%E5%0E%3D%3F%2F%B1%0F&ip=114.86.129.8&port=17767&uploaded=240822656&downloaded=240822656&left=480772096&numwant=200&key=5792&compact=1 HTTP/1.0" 404 162 "-" "Bittorrent"
222.161.198.228 - - [03/Jan/2015:23:21:38 +0800] "GET /announce.php?info_hash=f%F7x%23%A6w%96%955%E6T%09%3Br%DD%A5%F3%3D%A4%05&peer_id=%2DSD0100%2Dp%83%F6%00%E9%04B4%28%E5%F4%F8&ip=192.168.1.102&port=11274&uploaded=444858368&downloaded=444858368&left=181403648&numwant=200&key=17766&compact=1 HTTP/1.0" 404 162 "-" "Bittorrent"
117.140.8.11 - - [03/Jan/2015:23:21:38 +0800] "GET /announce?info_hash=%C7Jr%2F%E4%DF9%ECk%BA%88%94%7B%FF%8Ad%102%FA%5B&peer_id=%2DSD0100%2D%F6%F1%A1%A6%C9%01%DC%17%DC%AA%5D%19&ip=19.34.33.71&port=16456&uploaded=60373348&downloaded=60373348&left=1712431046&numwant=200&key=31414&compact=1 HTTP/1.0" 499 0 "-" "Bittorrent"
60.242.213.36 - - [03/Jan/2015:23:21:38 +0800] "GET /announce?info_hash=%B3%DA%8D%13%F9n%5D%E3%00%F0f%19%8Fb%BA%FEgg%22%40&peer_id=%2DSD0100%2D%0F%F9%DC%2D%E3%A5%DB%CF%FE%09%AB%3C&ip=60.242.213.36&port=19859&uploaded=85983232&downloaded=85983232&left=1676673024&numwant=200&key=1997&compact=1 HTTP/1.0" 404 20283 "-" "Bittorrent"
61.183.79.192 - - [03/Jan/2015:23:21:38 +0800] "GET /announce?info_hash=%B3%DA%8D%13%F9n%5D%E3%00%F0f%19%8Fb%BA%FEgg%22%40&peer_id=%2DSD0100%2D%2D%A6%EF%F4%FCoe%C5%CB%A2%F8%15&ip=192.168.2.101&port=11136&uploaded=4194304&downloaded=4194304&left=1237319680&numwant=200&key=10639&compact=1 HTTP/1.0" 499 0 "-" "Bittorrent"
114.105.43.47 - - [03/Jan/2015:23:21:38 +0800] "GET /announce.php?info_hash=%B6%92n%10%AF%8F%8C%E7%7B1%F9%94%D9%1B%FB%2F%9F%E5%CF%13&peer_id=%2DSD0100%2D%B9N%C5%283%14%D0%C5%E7%96k%91&ip=114.105.43.47&port=13462&uploaded=1021732276&downloaded=1021732276&left=6291456&numwant=200&key=6618&compact=1 HTTP/1.0" 404 162 "-" "Bittorrent"
117.9.47.219 - - [03/Jan/2015:23:21:38 +0800] "GET /announce.php?info_hash=%A5u0%B1%BCC%05%CB%D0%97Ez%D6GX%1B%9E%D7%8C9&peer_id=%2DSD0100%2D%BD%2A%5E%D1%0E%ADZ%13%E0%1C%5F%1B&ip=117.9.47.219&port=14181&uploaded=787046358&downloaded=787046358&left=545&numwant=200&key=25770&compact=1 HTTP/1.0" 404 162 "-" "Bittorrent"

Próbowałem przeszukać ten rodzaj dziennika, ale jest tak mało informacji na ten temat.

Nie instaluję żadnych aplikacji bittorrent na moim serwerze i zastanawiam się, dlaczego wydaje się, że mój serwer działa jak moduł śledzący.

Czy ktoś może mi pomóc, dlaczego mam tego rodzaju dziennik?

nginx log-files ubuntu-14.04 jaypabs
źródło

Odpowiedzi:

15

Nie wygląda na to, żeby się martwić. Urządzenia śledzące Bittorrent to zwykłe serwery HTTP.

Twój serwer wysyła błędy 404 - na serwerze nie ma modułu śledzącego.

Prawdopodobnie w pewnym momencie w przeszłości Twój adres IP był używany jako moduł śledzący, ktoś inny źle skonfigurował swojego klienta lub urządzenie śledzące dns.

Dotacja
źródło
Wygląda na to, że może tu być coś większego. Otrzymuję te same żądania na 4 (o których wiem) niepowiązanych serwerach. Zadałem pytanie, jak zablokować te żądania za pomocą mod_security, wyjaśniając nieco moje ustalenia na temat serverfault.com/questions/656093/... Wygląda jak zatrucie pamięci podręcznej DNS przez chińskiego dostawcę usług internetowych.
Cha0s,
@ Cha0s Myślę, że masz rację. Do tej pory mój serwer czasami cierpi z powodu przestoju. Ponieważ używam nginx, nie sądzę, że mod_security jest odpowiedzią na mój problem. Czy możesz polecić jakieś rozwiązanie?
jaypabs
@jaypabs Wspomniałem moje pytanie, aby pokazać moje ustalenia dotyczące tych żądań, które nie są tylko błędem w DNS lub IP używanym w przeszłości jako narzędzie do śledzenia torrentów. Ja osobiście skończyłem blokować Chiny za pomocą iptables. Nawet z mod_security połączenia były tak liczne, że wypełniałyby połączenia apache. Nie mam żadnego konkretnego rozwiązania dotyczącego nginx.
Cha0s,
@ Cha0s Czy mogę poznać polecenie, którego używasz do blokowania go za pomocą iptables?
jaypabs
@jaypabs Używam CSF / LFD, który pozwala blokować całe kraje przez CC. configserver.com/cp/csf.html
Cha0s
0

Może to być jakiś rodzaj ataku DDoS. Dodaj to do .htaccess swojej witryny, aby je zablokować.

RewriteEngine On
RewriteCond% {HTTP_USER_AGENT} ^ Bittorrent [NC]
RewriteRule ^ http://bittorrent.com [R, L]

Steve
źródło
2
Gdyby to był atak DDOS, nie pomogłoby to. Twój serwer wyśle ​​odpowiedź 302 zamiast 404, wykorzystując mniej więcej tyle samo ruchu - a teraz obciążenie procesora przekierowaniami. Powinien przynajmniej wysłać przekierowanie 301, więc dobrze zachowani klienci uważają go za stały. A jeśli jest to atak DDOS, właściciele bittorrent.com prawdopodobnie nie będą zbyt zadowoleni, że przekażesz im je ...
Grant