Strange Bittorrent Log On My Server

Je ne sais pas si le journal suivant a quelque chose à voir avec la fermeture de mon site à un moment donné. J'ai beaucoup de sites Web sur mon serveur et ils n'ont aucun journal comme celui-ci:

117.169.1.85 - - [03/Jan/2015:23:21:37 +0800] "GET /announce.php?info_hash=%D0%A2M%CE%13%21H%D4%11%0C%8C%27%22%C83%B4%A3l%92%15&peer_id=%2DSD0100%2D%C50%95xmh%9B%13%7C%D42%F7&ip=39.178.24.33&port=14940&uploaded=3893629&downloaded=3893629&left=1369695469&numwant=200&key=1490&compact=1 HTTP/1.1" 404 162 "-" "Bittorrent"
115.231.228.252 - - [03/Jan/2015:23:21:37 +0800] "GET /announce.php?info_hash=%DE%82%BC%CFBmH%29e%FD%25%ED6b%F2%2DX%EE%BE%21&peer_id=%2DSD0100%2D%BF3%DAG%83%1F%DAGnV%E3%C8&ip=118.134.134.210&port=13567&uploaded=675282944&downloaded=675282944&left=80740352&numwant=200&key=7916&compact=1 HTTP/1.0" 404 162 "-" "Bittorrent"
115.231.228.252 - - [03/Jan/2015:23:21:37 +0800] "GET /announce?info_hash=%DE%82%BC%CFBmH%29e%FD%25%ED6b%F2%2DX%EE%BE%21&peer_id=%2DSD0100%2D%BF3%DAG%83%1F%DAGnV%E3%C8&ip=118.134.134.210&port=13567&uploaded=675282944&downloaded=675282944&left=80740352&numwant=200&key=16205&compact=1 HTTP/1.0" 404 20283 "-" "Bittorrent"
123.123.126.154 - - [03/Jan/2015:23:21:37 +0800] "GET /announce.php?info_hash=%AA%21U%8F%7F%BA%DC%8F%D2%A5%B5A%7B%26t%F7%2A%FF%1E%8C&peer_id=%2DSD0100%2D%91%11%E7%11G%7B%8C%EB%14Y%2B%26&ip=123.123.126.154&port=12070&uploaded=129742857&downloaded=129742857&left=85310&numwant=200&key=11590&compact=1 HTTP/1.0" 404 162 "-" "Bittorrent"
114.86.129.8 - - [03/Jan/2015:23:21:37 +0800] "GET /announce.php?info_hash=%9A%90s%DCK%29%93%05%FE%BA%E6%D3%7D%03%12%25l%B0%B8k&peer_id=%2DSD0100%2D%20%80%3FRw%E5%0E%3D%3F%2F%B1%0F&ip=114.86.129.8&port=17767&uploaded=240822656&downloaded=240822656&left=480772096&numwant=200&key=5792&compact=1 HTTP/1.0" 404 162 "-" "Bittorrent"
222.161.198.228 - - [03/Jan/2015:23:21:38 +0800] "GET /announce.php?info_hash=f%F7x%23%A6w%96%955%E6T%09%3Br%DD%A5%F3%3D%A4%05&peer_id=%2DSD0100%2Dp%83%F6%00%E9%04B4%28%E5%F4%F8&ip=192.168.1.102&port=11274&uploaded=444858368&downloaded=444858368&left=181403648&numwant=200&key=17766&compact=1 HTTP/1.0" 404 162 "-" "Bittorrent"
117.140.8.11 - - [03/Jan/2015:23:21:38 +0800] "GET /announce?info_hash=%C7Jr%2F%E4%DF9%ECk%BA%88%94%7B%FF%8Ad%102%FA%5B&peer_id=%2DSD0100%2D%F6%F1%A1%A6%C9%01%DC%17%DC%AA%5D%19&ip=19.34.33.71&port=16456&uploaded=60373348&downloaded=60373348&left=1712431046&numwant=200&key=31414&compact=1 HTTP/1.0" 499 0 "-" "Bittorrent"
60.242.213.36 - - [03/Jan/2015:23:21:38 +0800] "GET /announce?info_hash=%B3%DA%8D%13%F9n%5D%E3%00%F0f%19%8Fb%BA%FEgg%22%40&peer_id=%2DSD0100%2D%0F%F9%DC%2D%E3%A5%DB%CF%FE%09%AB%3C&ip=60.242.213.36&port=19859&uploaded=85983232&downloaded=85983232&left=1676673024&numwant=200&key=1997&compact=1 HTTP/1.0" 404 20283 "-" "Bittorrent"
61.183.79.192 - - [03/Jan/2015:23:21:38 +0800] "GET /announce?info_hash=%B3%DA%8D%13%F9n%5D%E3%00%F0f%19%8Fb%BA%FEgg%22%40&peer_id=%2DSD0100%2D%2D%A6%EF%F4%FCoe%C5%CB%A2%F8%15&ip=192.168.2.101&port=11136&uploaded=4194304&downloaded=4194304&left=1237319680&numwant=200&key=10639&compact=1 HTTP/1.0" 499 0 "-" "Bittorrent"
114.105.43.47 - - [03/Jan/2015:23:21:38 +0800] "GET /announce.php?info_hash=%B6%92n%10%AF%8F%8C%E7%7B1%F9%94%D9%1B%FB%2F%9F%E5%CF%13&peer_id=%2DSD0100%2D%B9N%C5%283%14%D0%C5%E7%96k%91&ip=114.105.43.47&port=13462&uploaded=1021732276&downloaded=1021732276&left=6291456&numwant=200&key=6618&compact=1 HTTP/1.0" 404 162 "-" "Bittorrent"
117.9.47.219 - - [03/Jan/2015:23:21:38 +0800] "GET /announce.php?info_hash=%A5u0%B1%BCC%05%CB%D0%97Ez%D6GX%1B%9E%D7%8C9&peer_id=%2DSD0100%2D%BD%2A%5E%D1%0E%ADZ%13%E0%1C%5F%1B&ip=117.9.47.219&port=14181&uploaded=787046358&downloaded=787046358&left=545&numwant=200&key=25770&compact=1 HTTP/1.0" 404 162 "-" "Bittorrent"

J'ai essayé de rechercher ce type de journal, mais il y a si peu d'informations à ce sujet.

Je n'installe aucune application bittorrent sur mon serveur et je me demande pourquoi il semble que mon serveur se comporte comme un tracker.

Quelqu'un peut-il m'aider à comprendre pourquoi j'ai ce type de journal?

nginx log-files ubuntu-14.04 Jaypabs
la source

Réponses:

Cela ne ressemble à rien à craindre. Les trackers Bittorrent ne sont que des serveurs HTTP classiques.

Votre serveur envoie des erreurs 404 - il n'y a pas de tracker sur votre serveur.

Probablement à un moment donné dans le passé, votre adresse IP a été utilisée comme tracker, ou quelqu'un d'autre a mal configuré son client ou son DNS de tracker.

Subvention
la source

En fait, il semble qu'il puisse y avoir quelque chose de plus grand ici. Je reçois les mêmes demandes sur 4 (dont je suis au courant) des serveurs indépendants. J'ai posté une question sur la façon de bloquer ces demandes via mod_security expliquant un peu mes conclusions sur le sujet serverfault.com/questions/656093/… Il ressemble à un empoisonnement du cache DNS par un FAI chinois.

Cha0s

@ Cha0s je pense que vous avez raison. Jusqu'à présent, mon serveur semble parfois souffrir d'un temps d'arrêt à cause de cela. Puisque j'utilise nginx, je ne pense pas que mod_security soit la réponse à mon problème. Pouvez-vous recommander une solution?

jaypabs

@jaypabs J'ai mentionné ma question pour montrer mes conclusions concernant ces demandes qui n'étaient pas simplement une erreur dans le DNS ou l'IP utilisée comme traqueur de torrent dans le passé. Personnellement, j'ai fini par bloquer la Chine avec iptables. Même avec mod_security, les connexions étaient si nombreuses qu'elles rempliraient les connexions d'Apache. Je n'ai aucune solution concernant spécifiquement nginx.

Cha0s

@ Cha0s Puis-je connaître la commande que vous utilisez pour le bloquer à l'aide d'iptables?

jaypabs

@jaypabs J'utilise CSF / LFD qui permet de bloquer des pays entiers par CC. configserver.com/cp/csf.html

Cha0s

Il peut s'agir d'un type d'attaque DDoS. Ajoutez ceci au .htaccess de votre site pour les bloquer.

RewriteEngine On
RewriteCond% {HTTP_USER_AGENT} ^ Bittorrent [NC]
RewriteRule ^ http://bittorrent.com [R, L]

Steve
la source

S'il s'agissait d'une attaque DDOS, cela n'aurait pas aidé. Votre serveur enverra une réponse 302 au lieu de 404, en utilisant à peu près la même quantité de trafic - plus maintenant la charge CPU de traitement des redirections. À tout le moins, il devrait envoyer une redirection 301 si les clients bien comportés la considèrent comme permanente. Et s'il s'agit d'une attaque DDOS, les propriétaires de bittorrent.com ne seront probablement pas trop heureux que vous le leur transmettiez ...

Grant