Как записываются в логи апача хосты, которых нет на моем сервере?

Question

[Vincent1]

Сегодня появились сотни тысяч записей в логах апача с хостами, которых у меня нет и было на сервере. Это что спам какой то? И как апач+nginx пишут в логи хосты, которых нет на сервере?

infodio.com:80 64.31.24.238 - - [10/Dec/2020:05:07:16 -0500] "GET / HTTP/1.0" 200 3540 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78. 295226 0.3904.70 Safari/537.36"
infodio.com:80 64.31.24.238 - - [10/Dec/2020:05:07:16 -0500] "GET / HTTP/1.0" 200 3540 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.13; rv:69.0) Gecko/20100101 Firefox/69. 295227 0"
infodio.com:80 64.31.24.238 - - [10/Dec/2020:05:07:16 -0500] "GET / HTTP/1.0" 200 3540 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko)  295228 Chrome/76.0.3809.87 Safari/537.36"
monlycee.net:80 216.144.247.78 - - [10/Dec/2020:05:06:40 -0500] "GET / HTTP/1.0" 302 237 "-" "Mozilla/5.0 (Windows NT 6.3; WOW64; Trident/7.0; ASJB; rv:11.0) like Gecko"
monlycee.net:80 216.144.247.78 - - [10/Dec/2020:05:06:40 -0500] "GET / HTTP/1.0" 302 237 "-" "Mozilla/5.0 (Linux; Android 5.1.1; SM-G920V Build/LMY47X) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.84 Mobile Safari/537.36"
monlycee.net:80 216.144.247.78 - - [10/Dec/2020:05:06:40 -0500] "GET / HTTP/1.0" 302 237 "-" "Mozilla/5.0 (Windows NT 6.0; rv:39.0) Gecko/20100101 Firefox/39.0"
monlycee.net:80 216.144.247.78 - - [10/Dec/2020:05:06:40 -0500] "GET / HTTP/1.0" 302 237 "-" "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.99 Safari/537.36"
attack.ink:80 64.31.33.62 - - [10/Dec/2020:05:06:18 -0500] "GET / HTTP/1.0" 200 1626 "-" "Mozilla/5.0 (Linux; U; Android 4.0.3; en-us) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.59 Mobile Safari/537.36"
attack.ink:80 216.144.247.78 - - [10/Dec/2020:05:06:18 -0500] "GET / HTTP/1.0" 200 1626 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_5) AppleWebKit/600.8.9 (KHTML, like Gecko) Version/8.0.8 Safari/600.8.9"
attack.ink:80 216.144.247.78 - - [10/Dec/2020:05:06:18 -0500] "GET / HTTP/1.0" 200 1626 "-" "Mozilla/5.0 (Linux; U; Android 4.4.3; en-us; KFTHWI Build/KTU84M) AppleWebKit/537.36 (KHTML, like Gecko) Silk/3.68 like Chrome/39.0.2171.93 Safari/537.36"

Подсети, которые я уже успел забанить

64.31.6.190/23
208.115.237.90/24
64.31.24.218/24
64.31.35.46/24
64.31.8.0/24

Comments

[Lynn «Кофеман»]

Да легко. Хост это всего лишь один из заголовком в запросе
curl -v http://example.com -H "Host: attack.ink"

> GET / HTTP/1.1
> Host: attack.ink
> User-Agent: curl/7.58.0
> Accept: */*

Answer 1

[Saboteur]

У вас скорее всего стоит что-то типа
LogFormat "%V .....

В этом случае в лог попадает имя хоста, по которому на ваш сервер попадает клиент. А это можно сделать по-разному. Кривой DNS, или банально клиент может hosts файл у себя поправить и попадать на ваш веб-сервер по любому произвольному доменному имени

Answer 2

[ky0]

Это логируется тот заголовок, который передаёт клиент - а ему ничего не стоит туда подставить абсолютно что угодно. Также возможен вариант, что кто-то использует для А-записи своего домена в DNS ваш айпишник - особенно часто такое случается на хостингах, когда новым клиентам может попасться адрес старого, уже отвалившегося.

Ничего страшного, короче. Можно настроить дефолтный конфиг, который все эти запросы с кривыми хостами будет блочить. Опционально - можно их и не логировать, чтобы место не тратить впустую.

Comments

[Vincent1]

Подскажите где почитать про то как блочить запросы с не правильными хостами и не логировать их?