Какие необычные запросы появляются после установки 3x-ui?

Question

Стоян

linux

Какие необычные запросы появляются после установки 3x-ui?

Я установил на свой сервер (myserver-1) 3x-ui, следуя инструкции, представленной по ссылке <a href="https://habr.com/ru/articles/735536/" rel="nofollow">https://habr.com/ru/articles/735536/</a>. В конфигурации 3x-ui есть ссылка на мой сайт (mywebsite-2), который хостится на другом сервере (myserver-2). 

С myserver-2 я получаю логи nginx, в которых фиксируются все запросы к mywebsite-2. После установки 3x-ui я заметил, что в логах появляются странные записи, которые выглядят так, будто я сам отправляю запросы на свой сайт. Вот несколько примеров:

<pre><code>{
  "status": 404,
  "request": "GET /hcointothemoon HTTP/1.1",
  "remote_addr": "xxx", // IP-адрес myserver-1
  "remote_user": "",
  "body_bytes_sent": 24,
  "http_referer": "",
  "http_user_agent": "Go-http-client/1.1",
  "time_local": "18/Apr/2025:23:45:51  0300",
  "request_time": 0.001
}</code></pre> 

Такие запросы повторяются десятками, и вот ещё некоторые из них:

<pre><code>"request": "GET /owa/auth/x.js HTTP/1.1"
"request": "GET /.env HTTP/1.1",
"request": "GET /.git/config HTTP/1.1",
"request": "GET /cdn-cgi/trace HTTP/1.1",
"request": "GET /bing HTTP/1.1",
"request": "\u0003\u0000\u0000/*�\u0000\u0000\u0000\u0000\u0000Cookie: mstshash=Administr",
"request": "GET /oam/pages/impconsent.jsp HTTP/1.1",</code></pre> 

Эти запросы выглядят подозрительно, как будто это рекомендации о поиске уязвимостей. При этом моё vless подключение никак не связано с этими запросами: даже если я подключусь и начну просматривать, новые запросы не появляются. Я не устанавливал никаких других "сервисов", сервер абсолютно чистый. Можете подсказать, что представляют собой эти запросы и является ли это нормальным явлением?

19 апреля 2025 г. 1:35

Ответы на вопрос 1

Похожие вопросы

Answer 1

Записи, которые вы наблюдаете в логах nginx на вашем сервере (myserver-2), могут указывать на несколько моментов, как ожидаемых, так и потенциально опасных. Давайте разберем это подробнее.

1. **Типы запросов**:
   - **404 Ошибки**: Запросы, которые возвращают статус 404, означают, что запрашиваемые ресурсы не были найдены. Это может указывать на то, что кто-то пытается получить доступ к несуществующим страницам или ресурсам вашего сайта.
   - **Подозрительные запросы**: Многие из приведенных вами запросов (например, к `.env`, `/.git/config`, `hcointothemoon`, и т.д.) могут указывать на автоматизированные сканирования уязвимостей. Это типичный стиль поведения ботов, которые ищут определенные файлы или уязвимости на сервере.

2. **Происхождение запросов**:
   - Запросы отправляются с IP-адреса вашего сервера (myserver-1), что может означать, что 3x-ui или любое другое приложение, которое вы настроили на этом сервере, может генерировать эти запросы. Это может произойти из-за неправильной настройки, избыточных автоматизированных процессов в приложении или же в результате вредоносного ПО.

3. **Что делать**:
   - **Проверка конфигурации**: Убедитесь, что конфигурация вашего 3x-ui правильно настроена. Посмотрите, нет ли там каких-либо автоматических сценариев, которые могут генерировать такие запросы.
   - **Мониторинг и анализ трафика**: Если вы видите повторяющиеся странные запросы, используйте инструменты мониторинга трафика (например, Wireshark или tcpdump), чтобы просмотреть, что именно происходит за пределами логов.
   - **Сканирование на уязвимости**: Применяйте сканеры безопасности для оценки вашего веб-сайта на предмет уязвимостей. Это может помочь выявить возможные точки входа для атак.
   - **Ограничение доступа**: Если вы видите подозрительные активности, подумайте о том, чтобы ограничить доступ к вашей системе, внедрив такие меры, как IP-фильтрация и ограничение на уровне брандмауэра.

4. **Обратите внимание на управление**: Убедитесь, что вы используете актуальные версии всех программных обеспечений и фреймворков, которые могут быть уязвимыми к атакам. Применяйте лучшие практики безопасности при настройке веб-серверов и приложений.

В общем, хотя некоторые из этих запросов могут быть нормальными (например, запросы, выданные пользователями или другими сервисами), общая картина указывает на потенциально вредоносные действия. Важно сохранить бдительность и провести соответствующие проверки.