Questo GET richiede un tentativo di exploit?

9

Ho notato alcune richieste come questa in un'applicazione Rails che sto mantenendo:

GET http://mydomain.com/?f=4&t=252751+++++++++++++++++++++++++++++++++++++++++Result:+%E8%F1%EF%EE%EB%FC%E7%F3%E5%EC+%EF%F0%EE%EA%F1%E8+85.17.122.209:6188;+%ED%E5+%ED%E0%F8%EB%EE%F1%FC+%F4%EE%F0%EC%FB+%E4%EB%FF+%EE%F2%EF%F0%E0%E2%EA%E8;+Result:+GET-%F2%E0%E9%EC%E0%F3%F2%EE%E2+1;+%ED%E5+%ED%E0%F8%EB%EE%F1%FC+%F4%EE%F0%EC%FB+%E4%EB%FF+%EE%F2%EF%F0%E0%E2%EA%E8;

Sembra un tentativo di sfruttare qualche vulnerabilità per me, ma non riesco a capire cosa debba fare, ed è un po 'difficile da trovare su Google. Eventuali approfondimenti saranno apprezzati.

    
posta Thilo 29.07.2013 - 09:42
fonte

2 risposte

26

Il parametro request è codificato con Windows Codepage 1251 e contiene un messaggio di errore apparentemente innocuo in russo:

используем прокси 85.17.122.209:6188; не нашлось формы для отправки; Risultato: GET-таймаутов 1; не нашлось формы для отправки;

Tradotto in inglese, il messaggio dice:

utilizzando il proxy 85.17.122.209:6188; non c'erano moduli da inviare; Risultato: GET-timeout 1; non c'erano moduli da inviare;

Sicuramente non sembra che qualcuno stia cercando di hackerarti. Vorrei piuttosto dare per scontato che qualcosa stia tentando di segnalare un errore e a causa di una configurazione errata che sta chiamando il tuo server invece di qualunque cosa debba tracciare o gestire il problema.

    
risposta data 29.07.2013 - 15:48
fonte
4

Potrebbe essere che qualcuno stia cercando di sfogliare il tuo sito web nella speranza di trovare una vulnerabilità. In realtà è abbastanza normale vederli passare. Si chiama rumore di sottofondo di Internet (anche in questo caso si sta eseguendo un servizio, quindi la descrizione non è del tutto corretta).

Ho eseguito questo attraverso un decodificatore URL:

?????????? ?????? 85.17.122.209:6188; ?? ??????? ????? ??? ????????; Result: GET-????????? 1; ?? ??????? ????? ??? ????????

Non sono completamente sicuro di cosa stia cercando di ottenere (potrebbe essere il tuo IP?) ma potrebbe essere che spera di trovare un'iniezione SQL che permetta l'escalation di comandare l'iniezione. Sospetto anche che stiano usando una codifica di caratteri diversa per alcuni campi, nella speranza che il tuo codice lo trasmetta direttamente al tuo database backend (questo è chiamato iniezione SQL multi-exploit, dai un'occhiata qui Utilizzo di caratteri Multibyte - PHP / MySQL ). Non sono stato in grado di identificare la codifica dei caratteri usata però.

Li ho avuti anche sui miei siti web, generalmente non sono troppo preoccupato per loro (devi solo tenere traccia di tutti gli aggiornamenti di sicurezza). Ti consiglierei di ottenere un sistema di rilevamento delle intrusioni basato su host. Il mio preferito su si chiama OSSEC e (a volte dopo un po 'di messa a punto) bloccherà automaticamente questi criminali. È anche interessante notare che incorpora un cacciatore di rootkit in modo che se ti violano, inizierà a notificare le modifiche ai file (si innesca anche quando si eseguono aggiornamenti o si modificano i file critici, quindi è per quelle situazioni in cui si è sicuri di non essere fare qualsiasi cosa).

    
risposta data 29.07.2013 - 12:27
fonte

Leggi altre domande sui tag