Frage Wie oft sollten wir 400 Bad Request erwarten?


Wir betreiben einen Apache2 Webserver, der jeden Tag 2-3 Millionen Seiten hat (nur HTML + CSS + Javascript, Bilder und andere Inhalte werden mit Lighttpd geliefert). Unser tägliches logwatch E-Mail-Ausgaben irgendwo zwischen 3-5 "400 Bad Request" Elemente pro Tag. Es ist meistens für die gleichen URLs jeden Tag, aber selten mehr als 1 Mal pro URL. Die aufgelisteten URLs sind hauptsächlich für Standard-Seitenaufrufe auf unserer Website (URLs, die fast jeder Benutzer besuchen wird).

Beim Greifen der error.log für die IPs aufgelistet in der access.log Wenn der Fehler empfangen wurde, ist das Ergebnis immer [error] [client xxx.xxx.xxx.xxx] request failed: error reading the headers, referer: xxx.

Meine Annahme ist, dass es sich um nichts handelt, zumindest wenn sie so selten sind.

Ist die Anzahl der Fehler, die wir hier sehen, durch unterbrochene Verbindungen oder ähnliches verursacht? Was sollte ich untersuchen, um es herauszufinden? Soll ich es einfach in Ruhe lassen?


5
2017-07-11 05:54


Ursprung




Antworten:


Basierend auf dem, was Sie sehen, ist es wahrscheinlich sehr sicher, wenn die gleichen IPs, die die Fehler protokollieren, später erfolgreich auf die Site zugreifen können, die seltenen Fehler für das von Ihnen präsentierte Argument zu ignorieren.


4
2017-07-11 06:16



Ja, sie können. Grepping für die IP in access.log für alle IPs, die ich inspiziert habe, zeigt sich, dass die schlechte Anfrage nur eine von vielen Anfragen ist. - Vegard Larsen
Dann sollten Sie die Fehler ignorieren. - user48838


Um die Antwort von MrTuttle zu erweitern, sind die 400 Fehler, die ich in der freien Wildbahn untersucht habe, typischerweise jemand, der (erfolglos) versucht, Ihren Webserver auszunutzen, typischerweise weil er nicht bemerkt hat, dass Sie keine anfällige Version betreiben oder einfach nicht egal. Ein guter Teil der 404-Fehler, die ich auf meinen Seiten bekomme, befinden sich im selben Boot - Versuche, anfällige Webapps auszunutzen, die ich nicht installiert habe (phpmyadmin, ich grelle dich an).


5
2017-07-11 06:17



Dies sind normalerweise die w00tw00t-Anfragen, die mir bekannt sind. Ich habe meinen Server gepatcht und überprüfe auch die SSH-Logs mit logwatch ... :) - Vegard Larsen
Ein sehr guter Punkt! Und wenn ich 1/15 Cent für jedes Mal hatte, wenn jemand meine Server nach phpmyadmin gescannt hat .... - MrTuttle


Ein großes Lob für die Überprüfung Ihrer Protokolle! Ich würde die 400 Fehler ignorieren. 99,999% der Zeit, sie sind Client-Seite, und völlig außerhalb Ihrer Reichweite; Netzwerk Flakeyness oder ein Spyware-gestützter Browser, meiner Erfahrung nach.


2
2017-07-11 06:13