这是一个恶意请求，但并非试图利用漏洞。它试图生成一个 404 页面，以便通过识别页面源中的标记来确定您正在运行哪种类型的 Web 服务器或 CMS。错误页面通常会指定它们的 CMS 名称和版本，或者 Web 服务器名称和版本，因此它是侦察的一个简单目标。

我能给你的最好的建议是保持所有的补丁，并确保你的防火墙规则配置正确。主要目标可能是您的 CMS 和 Web 服务器，但您的操作系统也很重要，需要修补。

如果您有几个 IP 经常这样做，并且您确定他们不是有效客户，请随时阻止他们几个星期，看看他们是否仍然存在。

这不是恶意请求。它实际上是对 Fortinet 设备的 png 徽标的请求。此标志显示在 Fortinet 防火墙和其他 Fortinet 网络设备的身份验证页面上。

话虽如此，如果您看到许多请求，则可能是攻击者试图暴力破解身份验证。

示例请求：

Request URL:https://192.168.1.1:1003/XX/YY/ZZ/CI/MGPGHGPGPFGGHHPFBGFHEHIG
Request Method:GET
Status Code:200 OK
Remote Address:192.168.1.1:1003
Response Headers
view source
Connection:Close
Content-Length:1622
Content-Type:image/png
Request Headers
view source
Accept:image/webp,image/*,*/*;q=0.8
Accept-Encoding:gzip, deflate, sdch, br
Accept-Language:en-US,en;q=0.8
Connection:keep-alive
DNT:1
Host:192.168.1.1:1003
Referer:https://192.168.1.1:1003/fgtauth?000a089886bb41a2
User-Agent:Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36

/XX/YY/ZZ/CI/MGPGHGPGPFGHCDPFGGHGFHBGCHEGPFBGAHAH
/XX/YY/ZZ/CI/MGPGHGPGPFGHCDPFGGHGFHBGCHEGPFHHGG
/XX/YY/ZZ/CI/MGPGHGPGPFGHCDPFGGOGFGEH

有更简单、更谨慎的方法可以生成 404 错误来探测服务器信息。此 URL 模式是 Fortigate/Fortinet 和现代云网络环境的产物。

Fortinet 的“停止在工作中观看色情片”页面对上述路径进行了几次调用，url.fortinet.net:8008以下载静态资产。

您的站点当前托管在曾经在 Fortinet 的 IP 池范围内的 IP 上。它不再是，但某些硬编码的 IP、DNS 缓存或某个地方的爬虫很难应对这一事实并拒绝放手，因此您会看到流量错误地被重定向到您的站点，而不是被发送到 Fortinet。

当您查看在公共云计算实例上启动的任何 Web 服务的 HTTP 日志时，您会看到类似的行为 - 大量流量用于前一个租户。这不是恶意请求，也不是攻击指示，可以安全地忽略。

为了简单而有效的安全性，请确保您的网络服务器正在检查主机标头——它应该只接受引用您的实际域的流量。任何试图去的人http://36.10.52.4/index.html都不应该得到服务，只有在他们要求时才应该得到服务http://yoursite.com/index.html。

通过这种方式，您还可以配置您的网络服务器以将自定义 HTTP 代码（已消失、永久移动等）返回给任何请求属于前租户的资源的人。