全球主机交流论坛

标题: Nginx 日志乱码 [打印本页]

作者: llol9420 时间: 2022-1-13 11:54
标题: Nginx 日志乱码
访问日志
2.182.125.150 - - [13/Jan/2022:11:51:54 +0800] "\x17\xBF\x5C\xFAk{>:\x7Fl7\x89]\x11\x17{\xBC\xEE\x17|\x1C\xE8\x82_H\xF9On\xECV0\xE2UGuK\xCA7\xFD H\xD2\xC3R 4\xE2\xB8\xA6\x881\xD27\x8D\xAFDw\xF1\x83\x85\x8CR\xFF\x95\xFDt\x8Ejr\xEF\xFB\x85\xEA\xD4K\xBB\xD1p\xAA6\x00\xAC\xB3\x1A\x9Cy\xAE\x16\xF5\xED\xEE1\xE5\xDDM(\x82 \xE2\xD12\xED" 400 150 "-" "-" "-"
5.216.34.77 - - [13/Jan/2022:11:51:54 +0800] "O\xCFh\x0E\xE1\x87\xA3P<QI-\xEB" 400 150 "-" "-" "-"

而且错误日志每隔几秒就有
2022/01/13 11:52:30 [crit] 57697#57697: *3695 SSL_do_handshake() failed (SSL: error:1408F0C6:SSL routines:ssl3_get_record:packet length too long) while SSL handshaking, client: 45.92.35.94, server: 0.0.0.0:443
2022/01/13 11:53:26 [crit] 57697#57697: *4605 SSL_do_handshake() failed (SSL: error:1408F0C6:SSL routines:ssl3_get_record:packet length too long) while SSL handshaking, client: 5.216.34.77, server: 0.0.0.0:443

请教各位大佬这种是什么原因导致的？被攻击了吗？

作者: omo.moe 时间: 2022-1-13 11:55
这可不是乱码，被入侵了，那是可执行指令

作者: Mr.Qin 时间: 2022-1-13 11:56
提示: 作者被禁止或删除内容自动屏蔽

作者: 喵酱暗恋我 时间: 2022-1-13 11:57
你这是反代别的站了？

by optimism

作者: llol9420 时间: 2022-1-13 11:57

Mr.Qin 发表于 2022-1-13 11:56
是因为你机器上运行着ss呢，

没跑代理

作者: llol9420 时间: 2022-1-13 11:58

喵酱暗恋我发表于 2022-1-13 11:57
你这是反代别的站了？
by optimism

没有，就挂了一个 WordPress 测试一下

作者: qqwer 时间: 2022-1-13 12:17
搞笑，这叫乱码？

作者: llol9420 时间: 2022-1-13 12:26

qqwer 发表于 2022-1-13 12:17
搞笑，这叫乱码？

被扫了？

作者: llol9420 时间: 2022-1-13 12:27

omo.moe 发表于 2022-1-13 11:55
这可不是乱码，被入侵了，那是可执行指令

有什么办法排查吗？

作者: iiss 时间: 2022-1-13 12:28
这不是乱码啊你直接访问IP试试看

作者: llol9420 时间: 2022-1-13 12:30

iiss 发表于 2022-1-13 12:28
这不是乱码啊你直接访问IP试试看

都是 HTTP ERROR 502

作者: omo.moe 时间: 2022-1-13 12:43

llol9420 发表于 2022-1-13 12:27
有什么办法排查吗？

一般都是加密的，漏洞扫描之类的，建议安装fail2ban之类的ban掉异常请求

作者: llol9420 时间: 2022-1-13 13:05

omo.moe 发表于 2022-1-13 12:43
一般都是加密的，漏洞扫描之类的，建议安装fail2ban之类的ban掉异常请求

好的多谢大佬回复

作者: gqkkk 时间: 2022-1-13 15:38
这个是入侵扫描而已

作者: llol9420 时间: 2022-1-13 16:18
换了台服务器就没有了，原来的服务器一直被扫

欢迎光临全球主机交流论坛 (https://443502.xyz/)