
Thanks Ruslan<br><br><div class="gmail_quote">On 2 April 2012 16:28, Ruslan Ermilov <span dir="ltr"><<a href="mailto:ru@nginx.com">ru@nginx.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div class="HOEnZb"><div class="h5">On Mon, Apr 02, 2012 at 10:19:12AM +1000, Kevan Stannard wrote:<br>

> I typically see entries in my error.log files of hack attempts where the<br>

> host entry is the IP address of my server, but I also see some entries with<br>

> host values that are domain names I don't recognise.<br>

><br>

> Example 1:<br>

><br>

> 012/04/01 06:12:49 [error] 644#0: *882<br>

> "/var/www/nginx-default/ab1e27867d53d8f4942095a891183ce0cacd3dbf/0d4fc9bfe7c5f26b02522d088dd98da95a9ed8d7/074977cbb342d6ffa7743ae477a5c0054fef5512/index.html"<br>

> is not found (2: No such file or directory), client: 150.70.75.37, server:<br>

> localhost, request: "GET<br>

> /ab1e27867d53d8f4942095a891183ce0cacd3dbf/0d4fc9bfe7c5f26b02522d088dd98da95a9ed8d7/074977cbb342d6ffa7743ae477a5c0054fef5512/<br>

> HTTP/1.0", host: "<a href="http://deepspacer.com" target="_blank">deepspacer.com</a>"<br>

><br>

> Example 2:<br>

><br>

> 2012/02/03 01:38:41 [error] 592#0: *14019 open()<br>

> "/var/www/nginx-default/home.php" failed (2: No such file or directory),<br>

> client: 216.104.15.130, server: localhost, request: "GET<br>

> /home.php?SES=517a4bfc0137889f05d67314df2715a1&from_diary=1&cpl=1&from=102_4<br>

> HTTP/1.0", host: "<a href="http://www.au.mytelecomsurvey.com" target="_blank">www.au.mytelecomsurvey.com</a>"<br>

><br>

> Example 3:<br>

><br>

> 2012/02/03 11:57:56 [error] 592#0: *18075 open()<br>

> "/var/www/nginx-default/sites/default/files/js/js_b3ffc00633d66887fcb4ecdfc2d1c13a.jsmin.js"<br>

> failed (2: No such file or directory), client: 150.70.64.197, server:<br>

> localhost, request: "GET<br>

> /sites/default/files/js/js_b3ffc00633d66887fcb4ecdfc2d1c13a.jsmin.js<br>

> HTTP/1.0", host: "<a href="http://www.formalites-juridiques.net" target="_blank">www.formalites-juridiques.net</a>"<br>

><br>

> I was hoping someone could explain what it means if I'm seeing these domain<br>

> names as host values and if it's something I need to be concerned about.<br>

<br>

</div></div>It is just a value of the Host request header field.  This could happen<br>

due to client's DNS misconfiguration.  This could equally be a sign of<br>

malicious entity probing your site.<br>

<br>

_______________________________________________<br>

nginx mailing list<br>

<a href="mailto:nginx@nginx.org">nginx@nginx.org</a><br>

<a href="http://mailman.nginx.org/mailman/listinfo/nginx" target="_blank">http://mailman.nginx.org/mailman/listinfo/nginx</a><br>

</blockquote></div><br><br clear="all"><div><br></div>-- <br>Kevan Stannard<div>Mob: 0411 757 433</div><div><br></div><br>