Что это за запросы? Как перенаправлять такие запросы на другой сайт? Пока что смог настроить, что они пишутся в отдельный лог. Многие из них вытягивают по 14 кб, вот только чего? Код (Text): 94.229.229.130 - - [29/Mar/2012:15:55:33 +0600] "{\xe0\x93\x9f3\xfey\xb3+\\IKo\x97\xe99+\xa8;\x1c7\x1csEZND\x1b./u\xdfe\xc6." 200 13460 "-" "-" 46.31.24.15 - - [29/Mar/2012:16:33:16 +0600] "=W\x8b\xa8:'\x07+|\xc2'\xb3\xab^\xda\xdd\xc8\x1fi\x81l3Z?" 200 13460 "-" "-" 85.26.231.48 - - [29/Mar/2012:16:56:16 +0600] "\xcc~\xbc\x923\xb4\x1e\x9d\xfcFc\r\x84\xbe\x9f\xec\x9f#k\x1b~\xa7\x17\x99 \xa8" 400 226 "-" "-" 46.201.242.108 - - [29/Mar/2012:18:30:54 +0600] "z2\x0e\x99\xe9" 200 13460 "-" "-" 211.219.0.185 - - [29/Mar/2012:18:35:10 +0600] "\xbc,H" 200 13460 "-" "-" 78.36.229.179 - - [29/Mar/2012:18:43:33 +0600] "C\x0e\xb1\xa8\xb8\xf4\x92\x90\x1f>\x01q&\x97\x94\x0e]\xa4" 200 13436 "-" "-" 94.79.44.188 - - [29/Mar/2012:19:01:35 +0600] "\xf3\xb6\xc6AW\x93\x92\x16SX#\x03^y1\xee\x8e\xcb9" 200 13436 "-" "-" 78.36.229.179 - - [29/Mar/2012:20:05:52 +0600] "\xb1\xec\xe0T\xcf\v\xc5/:\xca\x04\xcb\xd8\v\xe1\xbd.\x8f\xabE#g\xf5~" 400 226 "-" "-" 195.191.88.112 - - [29/Mar/2012:21:15:24 +0600] "\xf62S\xe1\xc0\xdd\x055suwG\xac,q@9H\xf9\x87\x7f\x9e\x9a\x8c\x80\xe2\xc5\xd0\xd9" 200 13436 "-" "-" 194.242.14.1 - - [29/Mar/2012:21:17:25 +0600] "F\x1aO\xf4\r#\x18\xf0\x82\xafT" 200 13436 "-" "-" 217.66.152.64 - - [29/Mar/2012:21:32:07 +0600] "\xe5hL\xb8\xf6B\r\xc0E\x10\xa0t\x95\xdc\xbe\x88\x12\x84\xa0\xc3;\xe4T-\xa5" 400 226 "-" "-" 178.66.73.152 - - [29/Mar/2012:21:35:21 +0600] "z*\x975\x8aQ\x97\xa1\x1e?&\xe3xv\xa5\xb0\xb7\xb0\x10\x99" 200 13436 "-" "-" 31.181.58.114 - - [29/Mar/2012:21:50:11 +0600] "5\x966>,\xcfM\xdc\xf4E\x81\x06\xde\xf5\xef\xdb\xd0\xf6\xe7\xecx\xd0\x11\xce\xef\xa6\xe9a\xb2-\x8f\x83`\xb73" 200 13436 "-" "-" 46.55.8.186 - - [29/Mar/2012:21:52:56 +0600] "\x85\x88\xf2\xfb\xb3\xabD\xb5\xeb\x9a\xecDSHh\xd8\x9a\x82\x97&&w\x1b^tM0" 200 13436 "-" "-" 85.117.224.56 - - [29/Mar/2012:22:02:21 +0600] "\x97y\xf2\xfe_" 200 13436 "-" "-" 220.226.188.32 - - [29/Mar/2012:22:32:54 +0600] "GET /user/soapCaller.bs HTTP/1.1" 404 216 "-" "Morfeus Fucking Scanner" 85.26.164.169 - - [29/Mar/2012:22:54:28 +0600] "[\xd6+" 200 13436 "-" "-" 195.218.191.144 - - [29/Mar/2012:23:10:19 +0600] "\x8c\xd85\xc81\x8cq\xfcd\xcb\xa2n\x85QS\x16\x1e\xa8\xd1\xa8I\xce\x14\xd0\x95(3zNR\x91\x1e." 200 13436 "-" "-" 148.243.5.100 - - [29/Mar/2012:23:40:43 +0600] "\xc4v\xb6MG'_n" 200 13436 "-" "-" 213.146.189.239 - - [29/Mar/2012:23:54:41 +0600] "rK\xfc\x993\xd8X\x1a!\xef\x83\xd8\xf8X\x15-\x0c\xafC\x05#Ivp\x14\xe3\x98" 400 226 "-" "-" 94.77.25.246 - - [30/Mar/2012:00:07:41 +0600] "\xb2\xc2t\x15d\x7f\xf3;\xb9\x86\t\xb2s\xb6;>s\xca\xd7" 400 226 "-" "-" 95.24.240.7 - - [30/Mar/2012:00:39:49 +0600] "\x8b\xbe\x17\xed\x1d<THP\xb6Y\xf8z\x11$\x05l\x01\xb6(\x9d\x9d(\t\x84%\x94W\x07\xea\x81Y{\x98\xc5" 400 226 "-" "-" 83.255.212.2 - - [30/Mar/2012:00:50:07 +0600] "u\xb1\x0e\x81\x9e\x8c\xd5\x03\xf2\x19\x8f\xe0\x82\x8e\xff1\x89\x1eX\x8b\xa7\x99\xd4\xc2\xa8\xa0\xa0\xda\xdf" 400 226 "-" "-"
я бы включил логгирование User-Agent. Скорее всего это юзеры с поисковых машин. А может и сами боты. да, и Referer тоже неплохобы логгировать.
Юзер агенты, как видишь, тут Код (Text): "-" Рефереров нет. Те запросы, где они есть, у меня в общий лог пишутся. Все остальные, у которых нет даже протокола GET, POST, HEAD и OPTIONS, пишутся в отдельный лог. Добавлено спустя 1 минуту 23 секунды: Ещё бывают всякие Код (Text): 61.250.80.133 - - [08/Apr/2012:03:07:07 +0600] "GET /user/soapCaller.bs HTTP/1.1" 404 216 "-" "Morfeus Fucking Scanner" 118.123.240.176 - - [09/Apr/2012:00:39:27 +0600] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 403 243 "-" "ZmEu" 118.123.240.176 - - [09/Apr/2012:00:39:28 +0600] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 404 226 "-" "ZmEu" Эти похожи на ботов с юзер агентами "ZmEu" и "Fucking Scanner".
Всех не перебаните. У меня таких в логах на 20 мегабайт в день набирается. Добавлено спустя 55 секунд: Где там <матное слово>? о_О
Добавлено спустя 2 минуты 25 секунд: YSandro Такого много всегда в статистике - я где-то читал про ботов, которые тупо ходят по ссылкам и проверяют уязвимости - например неудаленный конфиг phpmyadmin, или например незакрытый ckfinder Твоя задача - глянуть вручную по ссылкам и проверить что всё ок.
Меня беспокоят запросы типа (см. верхний пост) "C\x0e\xb1\xa8\xb8\xf4\x92\x90\x1f>\x01q&\x97\x94\x0e]\xa4" в ответ на которые сервер отвечает 200 (всё ок), и отдаёт 13460 байт неизвестно чего. Про ботов и поиски файлов phpmyadmin не интересно.
Что мешает проверить? Код (Text): topas@topas:~/www/example.com$ nc example.com 80 > test.html x8c\xd85\xc81\x8cq\xfcd\xcb\xa2n\x85QS\x16\x1e\xa8\xd1\xa8I\xce\x14\xd0\x95(3zNR\x91\x1e.
скорее всего да, но сами запросы больше похожи на применение неких эксплоитов: http://www.exploit-db.com/exploits/18349/ или вот так: http://www.exploit-db.com/exploits/18345/ http://www.exploit-db.com/exploits/6100/
Да чего "печалька", 98% вероятность того, что это первый виртуальный сайт (ибо host отсутствует) и, главная страница (rewrite_rule)