Strano URI di richiesta con molto + (spazi) e "nickname scelto"

14

Negli ultimi sei mesi circa (dopo aver pubblicato un determinato articolo) il mio sito è stato infestato da un numero di URI di richieste che seguono questo schema:

/warning.php++++++++++++++++++++++++++++++++++Result:+chosen+nickname+%22doudounemonclerfemmez.webs.comoV%22;+success;

L'indirizzo IP del richiedente e il soprannome scelto tra virgolette sono diversi in ogni richiesta, altrimenti il modello è lo stesso.

La pagina richiesta (warning.php) è una vera pagina sul mio sito che menziona un gruppo di hacker specifico (non "anonimo" btw.) in termini non lusinghieri. Il fatto che questa pagina specifica sia mirata potrebbe indicare che potrebbero essere irritati - o potrebbe essere solo una coincidenza.

Il gruppo di hacker in questione è (IMHO) un gruppo odioso di criminali, ma sono anche abbastanza bravi in quello che fanno. Tuttavia, non lo vedo come un attacco compentent. Per me sembra più una cosa da copione-kiddie che da un vero hacker. Davvero non capisco cosa riempia una richiesta di pagina legittima con un sacco di spazi e si suppone che un qualche casuale "nickname scelto" compia. Per me, non sembra un attacco di iniezione. Le richieste sono persistenti, ma solo 40-60 al giorno, quindi non è nemmeno una sorta di attacco DoS.

Ho cercato su google questo pattern, ma ho trovato solo questo: link - che suggerisce che si tratta di un lavoro script-kiddie. Tuttavia, il fatto che chiunque lo faccia abbia a disposizione un vasto numero di indirizzi IP punta nella direzione opposta. Ho scontato la teoria di più script-kiddies, poiché non conosco nessuno "script" che abbia questa "cosa" come componente, e poiché tutte le richieste riguardano la stessa pagina specifica.

Ciò che mi rende un po 'preoccupato è che 1) chiunque lo stia facendo è persistente; 2) indirizza una pagina specifica sul mio sito.

Le mie domande specifiche qui sono:

  1. Qualcuno può vedere cosa sta cercando di fare la persona che sta facendo?
  2. Dovrei essere preoccupato?
posta Free Radical 07.01.2013 - 10:09
fonte

5 risposte

16

La tua reazione iniziale è corretta - questa è una richiesta dannosa. L'attacco sembra stia tentando di sfruttare un bug di bypass di autenticazione in un plug-in, ma non riesco a trovare quale. L'attacco sembra essere stato ragionevolmente positivo, dal momento che un gran numero di siti che compaiono su Google ora stanno visualizzando spam farmaceutico. Immagino che l'attaccante stia usando una botnet o Tor per eseguire gli attacchi.

Per quanto riguarda la mitigazione, basta bloccare le richieste con un firewall o WAF che supporti il blocco basato su pattern. Se è possibile eseguire un blocco di modello di espressioni regolari, questo funzionerà fintanto che la distinzione tra maiuscole e minuscole è disabilitata:

^\/warning\.php\+*Result:\+chosen\+nickname\+.*success;$
    
risposta data 07.01.2013 - 10:21
fonte
1

Esistono letteralmente centinaia di kit di "exploit" che analizzano software vulnerabili e tentano di sfruttare i server che li ospitano. Alcuni dei kit di exploit più primitivi non confermeranno se un prodotto specifico o una versione del software è in esecuzione prima di attivare il payload. Nel tuo caso sembra che sia così e, come dici tu, il tuo sito è statico, non dovresti avere nulla di cui preoccuparti in termini di applicazione da sfruttare.

Benché sia vigile, controlla la registrazione whois per i domini, potrebbe valer la pena segnalarli perché il proprietario potrebbe non sapere di essere stato vittima di un attacco.

    
risposta data 07.01.2013 - 17:15
fonte
1

Uso il seguente codice in .htaccess:

# Removes hacking attempts from url, such as: /RK=0/RS=AYp9kgWwyL1Te5LIMYeMtv4cBVQ-
RewriteRule ^(.*)RK= /$1 [L,NC,R=301]
# Removes author attempts from url, such as: /author
RewriteRule ^(.*)author /$1 [L,NC,R=301]
# Removes trackback attempts from url, such as: /trackback
RewriteRule ^(.*)trackback /$1 [L,NC,R=301]
# Removes hacking attempts from url, such as: +Result:+chosen+nickname+"acqqicny06";+success+(from+first+page);
RewriteRule ^(.*)\+Result:\+chosen /$1 [L,NC,R=301]
    
risposta data 22.05.2014 - 09:16
fonte
0

Non è un attacco di per sé , è un tentativo di lasciare una "firma di successo" dal software di spam XRumer.

    
risposta data 27.02.2014 - 16:50
fonte
0

In questo momento, sto riscontrando un attacco molto simile al nostro sito OpenWGA con un nickname diverso. Tuttavia, penso che sia un tentativo di pubblicare commenti automatici di spam su qualche tipo di software per blog / forum in PHP

Ho cercato su Google i "dati extra" dell'URI e ho trovato alcuni log relativi a tentativi CAPTCHA errati (potrebbe essere di breve durata) che aveva questi dati nel suo URL di referrer. I dati della richiesta vengono registrati qui. Estratto:

[REQUEST_URI]     /forum_p/forum_p.php
[HTTP_REFERER]    http://www.vpi-sa.de/forum_p/forum_p.php?
                  msg=78+++++++++++++++++++Result:+chosen+nickname+%22Sareambimbkaw%22;+success;+Result:+chosen+nickname+%22teetlyHyday%22;+success;+Result:+chosen+nickname+%22infetEtig%22;+success;+Result:+chosen+nickname+%22AlbertOn%22;+success;
[HTTP_USER_AGENT] Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

Il messaggio è un testo di spam HTML per un negozio di outlet online, che non voglio ripetere qui.

    
risposta data 15.05.2014 - 10:48
fonte

Leggi altre domande sui tag