Sto ricevendo richieste insolite sul mio server: /op69okl?name=http://www.ntdtv.com/ o /op69okl?name=http://www.epochtimes.com/ o qualcosa di simile con altri siti nel param. Fare un po 'di ricerca di op69okl sembra un nome utente di un account porno.
Per chiarire il mio interesse in questa domanda: sono uno sviluppatore di software, ma ho iniziato a fare reverse engineering e ad imparare di più sul malware di recente. Quindi sono ancora troppo libero di approcciarlo sistematicamente.
Le richieste provengono da indirizzi IP in Cina, quasi tutti gli IP sono diversi e raramente si ripetono. Dato che l'IP è così diverso, mi induce a credere che siano dei robot. Suppongo che potrebbero sondare una vulnerabilità e aspettarsi una certa risposta. Nel mio caso il mio server (che non esegue nessun framework comune) non restituisce il 404 a questa richiesta, ma piuttosto reindirizza a una pagina predefinita. Mi chiedo se è per questo che il bot continua a provare il mio IP?
Sono curioso su come indagare ulteriormente. Attualmente sto imparando come catturare il malware, sto pensando come primo passo per mappare gli indirizzi IP delle richieste in arrivo e ottenere più informazioni da dove vengono e con quale frequenza (è iniziato 3 giorni fa, non molto frequente). Quindi voglio configurare un nuovo server e vedere se riesco a "riprendere" la stessa richiesta di nuovo. WordPress o un altro framework comune funzionerebbero bene per questo, credo.
Cos'altro posso fare per indagare su questo? Sto prendendo questa come un'opportunità di apprendimento della vita reale.
P.S. Sono molto curioso del perché il bot stia passando il ?name= come questo. Mi piacerebbe scoprirlo.