Il link spam restituisce il reindirizzamento vuoto a google.com - mi manca qualcosa?

3

In questa domanda qualcuno ha ricevuto quello che era chiaramente un link spam. A volte sono abbastanza curioso da dare un'occhiata, cosa che di solito faccio con arricciatura o altri strumenti da riga di comando (meno rischi di malware drive-by, anche se sono su linux quindi non sono solitamente suscettibile alla maggior parte di tali attacchi). Ho ottenuto questo come risposta dal sito web:

curl -v 'http://103.208.86.131/'
*   Trying 103.208.86.131...
* TCP_NODELAY set
* Connected to 103.208.86.131 (103.208.86.131) port 80 (#0)
> GET / HTTP/1.1
> Host: 103.208.86.131
> User-Agent: curl/7.56.0
> Accept: */*
> 
< HTTP/1.1 302 Found
< Date: Thu, 13 Sep 2018 18:27:16 GMT
< Server: Apache/2.4.7 (Ubuntu)
< X-Powered-By: PHP/5.5.9-1ubuntu4.25
< Location: https://www.google.com
< Content-Length: 0
< Content-Type: text/html
< 
* Connection #0 to host 103.208.86.131 left intact

Non restituisce una risposta effettiva, ma piuttosto un reindirizzamento 302 su google.com. Non imposta nemmeno un cookie. Da quello che posso dire letteralmente restituisce semplicemente un semplice reindirizzamento a google. Questo mi ha lasciato leggermente confuso su quale sia lo scopo reale di questo. Ovviamente i truffatori hanno i loro problemi tecnici, quindi questo potrebbe essere un segnale di un errore (o forse chiudono le loro pagine effettive per qualsiasi motivo), ma non posso fare a meno di chiedermi se forse:

  1. C'è qualcos'altro in questa richiesta / risposta che mi manca?
  2. C'è un motivo (diverso da "oops") per cui un link spam non può restituire altro che un reindirizzamento vuoto?

Ovviamente il mio indirizzo IP è ora potenzialmente nei registri del server, ma non riesco a immaginare che stessero trollando solo per gli indirizzi IP ...

    
posta Conor Mancone 13.09.2018 - 20:36
fonte

1 risposta

5

La mia prima ipotesi è che il sito stia probabilmente utilizzando la stringa User Agent per identificare se sei vulnerabile o meno. Poiché stai utilizzando curl e non stai modificando UserAgent, il kit di exploit ti reindirizza a una pagina innocua.

Ho usato curl con una stringa UserAgent IE11 e ho ottenuto lo stesso reindirizzamento. Probabilmente il mio IP non è nell'elenco di quelli desiderati.

Prossima ipotesi: indirizzo IP.

L'indirizzo IP di solito è abbinato a un elenco di obiettivi desiderati, solitamente legati a un paese. Solitamente è inteso a mantenere segreto il kit di exploit e lo espone solo agli obiettivi interessanti, evitando che venga immediatamente contrassegnato dalle società di sicurezza.

Così ho provato ancora usando un proxy del Regno Unito:

http_proxy=88.211.x.x:8080 curl -A 'Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0) like Gecko' -v 'http://103.208.86.131/'
*   Trying 88.211.x.x...
* Connected to 88.211.x.x (88.211.x.x) port 8080 (#0)
> GET http://103.208.86.131/ HTTP/1.1
> Host: 103.208.86.131
> User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0) like Gecko
> Accept: */*
> Proxy-Connection: Keep-Alive
> 
< HTTP/1.1 302 Found
< Date: Thu, 13 Sep 2018 18:48:47 GMT
< Server: Apache/2.4.7 (Ubuntu)
< X-Powered-By: PHP/5.5.9-1ubuntu4.25
< Location: index2.php?&sessionid=08bcaee2029a8a766175c5c8cebc8bff&securessl=true
< Content-Length: 0
< Content-Type: text/html
< 
* Connection #0 to host 88.211.x.x left intact

E collegato, mi ha reindirizzato a un'altra pagina.

    
risposta data 13.09.2018 - 20:42
fonte

Leggi altre domande sui tag