Почему на сайт летят множественные запросы от левых ip?

Question

[DeadAndDieFox]

Арендовал сервер ещё в ноябре, подрубил к нему домен, настроил nginx. Да никому про сервер не рассказывал.
Сидел, занимался своими делами и в какой-то момент вижу, что приходят различные запросы на сервер от ip из разных точек мира. Причём ip белые. Запрашивают кучу разных страниц, у некоторых вместо юзер агента вовсе "Hello, world!". И так продолжалось очень долгое время. В какой-то момент я запросил обучение на месяц, позже снова арендовал сервер на котором новый ip-шник, домен привязал не сразу, однако, история повторилась. По наблюдениям, что с доменом, что без него, запросов одинаково.
Что это вообще такое? Это какие-то боты для автоматического поиска уязвимостей?
Я знаю, что у яндекса, гугла и может остальных поисковиков есть боты, которые ищут robots.txt и если он есть, то могут пытаться индексировать сайт дальше, но дело в том, что они как в раз-таки сразу заметны и к ним претензий нет, но есть другие, которые выглядят странно.

Вот для примера небольшой кусок:

186.192.186.134 - - [04/Apr/2023:00:36:30 +0300] "POST /GponForm/diag_Form?style/ HTTP/1.1" 400 166 "-" "Hello, World"
66.240.236.116 - - [04/Apr/2023:00:44:00 +0300] "GET / HTTP/1.1" 200 396 "-" "Mozilla/5.0 zgrab/0.x"
173.249.56.171 - - [04/Apr/2023:00:52:37 +0300] "GET / HTTP/1.1" 301 178 "-" "Mozilla/5.0 (Windows NT 6.4; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2225.0 Safari/537.36"
173.249.56.171 - - [04/Apr/2023:00:52:37 +0300] "GET / HTTP/1.1" 200 1658 "http://sobolevad.ru" "Mozilla/5.0 (Windows NT 6.4; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2225.0 Safari/537.36"
193.142.146.101 - - [04/Apr/2023:01:01:42 +0300] "GET / HTTP/1.1" 200 612 "-" "-"
193.142.146.101 - - [04/Apr/2023:01:01:42 +0300] "GET /cgi-bin/downloadFlile.cgi HTTP/1.1" 404 162 "-" "Hello World"
154.209.125.58 - - [04/Apr/2023:01:02:15 +0300] "GET / HTTP/1.1" 200 612 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.11; rv:47.0) Gecko/20100101 Firefox/47.0"
154.209.125.115 - - [04/Apr/2023:01:02:16 +0300] "GET / HTTP/1.1" 200 396 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.132 Safari/537.36 QIHU 360SE"
154.209.125.115 - - [04/Apr/2023:01:02:16 +0300] "GET /favicon.ico HTTP/1.1" 404 197 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.132 Safari/537.36 QIHU 360SE"
193.32.162.159 - - [04/Apr/2023:01:05:54 +0300] "GET / HTTP/1.1" 200 396 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.85 Safari/537.36 Edg/90.0.818.46"
193.32.162.159 - - [04/Apr/2023:01:06:04 +0300] "GET /dispatch.asp HTTP/1.1" 404 197 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.85 Safari/537.36 Edg/90.0.818.46"
113.20.109.25 - - [04/Apr/2023:01:30:07 +0300] "POST /GponForm/diag_Form?style/ HTTP/1.1" 400 166 "-" "Hello, World"
167.94.145.58 - - [04/Apr/2023:01:31:45 +0300] "GET / HTTP/1.1" 200 612 "-" "-"
167.94.145.58 - - [04/Apr/2023:01:31:45 +0300] "GET / HTTP/1.1" 200 396 "-" "Mozilla/5.0 (compatible; CensysInspect/1.1; +https://about.censys.io/)"
167.94.145.58 - - [04/Apr/2023:01:31:45 +0300] "PRI * HTTP/2.0" 400 166 "-" "-"
167.94.145.58 - - [04/Apr/2023:01:31:45 +0300] "GET /favicon.ico HTTP/1.1" 404 134 "-" "Mozilla/5.0 (compatible; CensysInspect/1.1; +https://about.censys.io/)"
185.224.128.219 - - [04/Apr/2023:01:37:07 +0300] "GET /static/js/unsupported.min.js HTTP/1.1" 302 189 "-" "python-requests/2.25.1"
185.224.128.219 - - [04/Apr/2023:01:37:08 +0300] "GET / HTTP/1.1" 200 1658 "-" "python-requests/2.25.1"
191.243.117.153 - - [04/Apr/2023:01:46:01 +0300] "POST /GponForm/diag_Form?style/ HTTP/1.1" 400 166 "-" "Hello, World"
193.142.59.133 - - [04/Apr/2023:01:59:36 +0300] "GET /.env HTTP/1.1" 404 197 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.129 Safari/537.36"
193.142.59.133 - - [04/Apr/2023:01:59:36 +0300] "POST / HTTP/1.1" 405 568 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.129 Safari/537.36"

Другой день:

193.32.162.159 - - [03/Apr/2023:14:11:12 +0300] "GET / HTTP/1.1" 200 396 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.85 Safari/537.36 Edg/90.0.818.46"
193.32.162.159 - - [03/Apr/2023:14:11:22 +0300] "GET /dispatch.asp HTTP/1.1" 404 197 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.85 Safari/537.36 Edg/90.0.818.46"
186.65.85.26 - - [03/Apr/2023:14:11:27 +0300] "POST /GponForm/diag_Form?style/ HTTP/1.1" 400 166 "-" "Hello, World"
109.205.213.8 - - [03/Apr/2023:14:19:00 +0300] "POST /forgot_password.php HTTP/1.1" 404 197 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_8_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/54.0.2866.71 Safari/537.36"
176.53.217.57 - - [03/Apr/2023:14:20:07 +0300] "GET / HTTP/1.1" 200 2049 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.61 Safari/537.36"
176.53.217.57 - - [03/Apr/2023:14:20:08 +0300] "GET /favicon.ico HTTP/1.1" 200 67646 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.61 Safari/537.36"
45.43.33.218 - - [03/Apr/2023:14:26:29 +0300] "GET / HTTP/1.1" 200 612 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:58.0) Gecko/20100101 Firefox/58.0"
109.205.213.8 - - [03/Apr/2023:14:28:02 +0300] "GET /+CSCOE+/session_password.html HTTP/1.1" 404 197 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.77 Safari/537.36"
109.205.213.8 - - [03/Apr/2023:14:32:34 +0300] "POST /cobbler_api HTTP/1.1" 404 197 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.67 Safari/537.36"
112.28.118.168 - - [03/Apr/2023:14:36:11 +0300] "POST /GponForm/diag_Form?style/ HTTP/1.1" 400 166 "-" "Hello, World"
109.205.213.8 - - [03/Apr/2023:14:40:46 +0300] "GET /cgi-bin/slogin/login.py HTTP/1.1" 404 134 "-" "() { :; }; echo ; echo ; /bin/cat /etc/passwd"
109.205.213.8 - - [03/Apr/2023:14:42:39 +0300] "GET /Admin/Access/Setup/Default.aspx?Action=createadministrator&adminemail=test@test.com&adminname=test&adminpassword=oioqRh&adminusername=e8PPBc HTTP/1.1" 404 197 "-" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.67 Safari/537.36"
125.227.124.102 - - [03/Apr/2023:14:44:10 +0300] "POST /GponForm/diag_Form?style/ HTTP/1.1" 400 166 "-" "Hello, World"
109.205.213.8 - - [03/Apr/2023:14:47:52 +0300] "GET /elfinder/php/connector.minimal.php?cmd=file&download=1&target=l1_<@base64>/var/www/html/elfinder/files//..//..//..//..//..//../etc/passwd<@/base64> HTTP/1.1" 404 197 "-" "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2225.0 Safari/537.36"

Answer 1

[AUser0]

Пропишите в конфигах nginx в log_format строку $host:$server_port, и увидите, что все эти боты ломятся не по доменному имени (они его не знают), а исключительно по IP-адресу. Потому что они сканируют весь Интернет 0.0.0.0/0 на уязвимости, вдруг где чего можно взломать...

Лечится созданием server с

listen 80 default_server; server_name _; location / { return 403; }

Comments

[DeadAndDieFox]

Я 80 порт закрыл, оставив только домен на httpS. А ip'шник сразу после привязки домена отцепил, однако, спасибо, может это я просто уверен, что настроил всё правильно, а по факту это не так. Спасибо за наводку)