Negli ultimi sei mesi circa (dopo aver pubblicato un determinato articolo) il mio sito è stato infestato da un numero di URI di richieste che seguono questo schema:
/warning.php++++++++++++++++++++++++++++++++++Result:+chosen+nickname+%22doudounemonclerfemmez.webs.comoV%22;+success;
L'indirizzo IP del richiedente e il soprannome scelto tra virgolette sono diversi in ogni richiesta, altrimenti il modello è lo stesso.
La pagina richiesta (warning.php) è una vera pagina sul mio sito che menziona un gruppo di hacker specifico (non "anonimo" btw.) in termini non lusinghieri. Il fatto che questa pagina specifica sia mirata potrebbe indicare che potrebbero essere irritati - o potrebbe essere solo una coincidenza.
Il gruppo di hacker in questione è (IMHO) un gruppo odioso di criminali, ma sono anche abbastanza bravi in quello che fanno. Tuttavia, non lo vedo come un attacco compentent. Per me sembra più una cosa da copione-kiddie che da un vero hacker. Davvero non capisco cosa riempia una richiesta di pagina legittima con un sacco di spazi e si suppone che un qualche casuale "nickname scelto" compia. Per me, non sembra un attacco di iniezione. Le richieste sono persistenti, ma solo 40-60 al giorno, quindi non è nemmeno una sorta di attacco DoS.
Ho cercato su google questo pattern, ma ho trovato solo questo: link - che suggerisce che si tratta di un lavoro script-kiddie. Tuttavia, il fatto che chiunque lo faccia abbia a disposizione un vasto numero di indirizzi IP punta nella direzione opposta. Ho scontato la teoria di più script-kiddies, poiché non conosco nessuno "script" che abbia questa "cosa" come componente, e poiché tutte le richieste riguardano la stessa pagina specifica.
Ciò che mi rende un po 'preoccupato è che 1) chiunque lo stia facendo è persistente; 2) indirizza una pagina specifica sul mio sito.
Le mie domande specifiche qui sono:
- Qualcuno può vedere cosa sta cercando di fare la persona che sta facendo?
- Dovrei essere preoccupato?