通过详细分析,可以确定这些是自动化攻击行为,原因如下:
- 攻击特征分析
- 78.153.140.123: 29次连续请求,全部是各种.env配置文件变体
- 204.76.203.30: 21次连续请求,专门扫描.env文件和phpinfo
- 78.153.140.148: 11次连续请求,全部针对配置文件
- 异常行为模式
- 无正常页面访问: 这些IP从未访问过主页(/)或正常页面
- 高度专业化: 只针对安全敏感文件(.env, .git, phpinfo)
- 连续性攻击: 在极短时间内(秒级)发送大量特定请求
- User-Agent异常: 使用各种不同的浏览器伪装