Recentemente ho trovato alcune voci nei log di accesso di nginx che assomigliano a quanto segue:
##.##.##.## - - [24/Sep/2014:01:21:51 -0400] "GET /767/browser-wars-side-show-ho
w-natty-handles-the-load/+++++++++[+%C0%EA%F2%E8%E2%E0%F6%E8%FF+]+Result:+%E8%F1
%EF%EE%EB%FC%E7%EE%E2%E0%ED+%ED%E8%EA%ED%E5%E9%EC+%22azazalolxd%22;+%E2%EE%F8%EB
%E8;+%ED%E5+%ED%E0%F8%EB%EE%F1%FC+%F4%EE%F0%EC%FB+%E4%EB%FF+%EE%F2%EF%F0%E0%E2%E
A%E8; HTTP/1.0" 400 0 "http://2buntu.com/767/browser-wars-side-show-how-natty-ha
ndles-the-load/+++++++++[+%C0%EA%F2%E8%E2%E0%F6%E8%FF+]+Result:+%E8%F1%EF%EE%EB%
FC%E7%EE%E2%E0%ED+%ED%E8%EA%ED%E5%E9%EC+%22azazalolxd%22;+%E2%EE%F8%EB%E8;+%ED%E
5+%ED%E0%F8%EB%EE%F1%FC+%F4%EE%F0%EC%FB+%E4%EB%FF+%EE%F2%EF%F0%E0%E2%EA%E8;" "Mo
zilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/
35.0.1916.153 YaBrowser/14.7.1916.15705 Safari/537.36"
C'erano circa 10 di queste richieste in un intervallo di circa un minuto. Ho notato che le richieste provenivano da molti indirizzi IP diversi, sebbene l'user-agent fosse identico.
Si tratta di un tentativo di sfruttare una vulnerabilità nota? Nginx sembra essere sospetto e restituisce una risposta HTTP 400. Una cosa che ho notato nel percorso richiesto è la stringa:
"azazalolxd"
Questo è piuttosto sospetto per una sequenza "casuale" di caratteri.
Dovrei essere preoccupato? Le richieste sembrano essersi fermate per il momento.
Modifica: ho deciso di provare a rimuovere alcune delle entità senza escape e ho trovato il seguente:
%C0%EA%F2%E8%E2%E0%F6%E8%FF = Àêòèâàöèÿ
%E8%F1%EF%EE%EB%FC%E7%EE%E2%E0%ED+%ED%E8%EA%ED%E5%E9%EC+%22 = èñïîëüçîâàí
...
Sembra che siano tutti caratteri latini di livello 1. Questa è una forma di attacco Unicode?