Я только недавно настроил домашний веб-сервер как своего рода личный учебный проект. Я заметил некоторые странные журналы доступа прошлой ночью. От ip-адреса 87.148.246.162 поступило около 12 HTTP-запросов. Первый выглядел так:
87.148.246.162 - - [29/Nov/2017:07:09:55 -0800] "\xa8" 400 0 "-" "-"
Тогда было два, которые выглядели так:
87.148.246.162 - - [29/Nov/ 2017:07:11:56 -0800] "POST / HTTP / 1.1" 200 336 "-" "Mozilla / 4.0 (совместимо; MSIE 7.0; Windows NT 10.0; WOW64; Trident / 7.0; .NET4.0C; .NET4.0E; Creative AutoUpdate v1.41.09)"
и, наконец, связка, которая выглядела так:
87.148.246.162 - - [29/Nov/ 2017:07:15:57 -0800] "POST / HTTP / 1.1" 200 336 "-" "Mozilla / 5.0 (Windows NT 10.0; WOW64; Trident / 7.0; rv:11.0) ) как геккон
Есть несколько вещей, которые беспокоили меня об этих связях. Во-первых, сайт, который я сейчас на сервере, тупо прост. Это просто скучный HTML-файл. У этого даже нет никакого моделирования. Поскольку он имеет нулевую интерактивность, я не знаю, почему они будут использовать POST.
Во-вторых, я использовал геолокационный сайт ip, и он сказал, что IP-адрес находится в Германии. Сейчас в мире, возможно, около 10 человек, у которых есть какая-либо причина для доступа к моему сайту, и все они находятся в США.
Итак, я должен беспокоиться об этих журналах, или я просто параноик? Если я должен быть обеспокоен, что я должен делать с этим?
Кроме того, любые советы новичков о том, что я могу сделать для дальнейшей защиты своего сервера, будут очень благодарны. Прямо сейчас я настроил свой маршрутизатор, чтобы поместить веб-сервер в dmz, так что, надеюсь, он изолирован от всего остального в моей домашней сети. Я также настроил брандмауэр для блокировки всех портов сервера, кроме тех, которые необходимы для ssh и для обслуживания веб-контента.