All'improvviso, a partire da circa ieri sera (gmt + 2), ottengo un sacco di ... quelli che sospetto siano - "successi" dei robot che stanno cercando varianti di questo file:
/somerealpath/includes/formvars.php
Sono curioso di sapere di cosa si tratta, e perché così improvvisamente queste scansioni?
Sembrano tutti scansionare lo stesso paio di percorsi. Potrebbero ottenere questi come i primi hit di xx google, ma sono sempre gli stessi ogni volta.
- La radice,
- una sottodirectory speciale
- un pdf in quella sottodirectory.
Le scansioni provengono da vari ip, ma hanno tutti useragent:
"Mozilla/5.0 (iPad; U; CPU OS 3_2_1 like Mac OS X; en-us) AppleWebKit/531.21.10 (KHTML, like Gecko) Mobile/7B405"
Quale, per qualche tipo di scansione di sicurezza-problema sembra strano: perché dovrebbero tutti eseguire la scansione con lo stesso strumento? Perché usano tutti gli stessi URL per verificare il file?
Dubito che sia un attacco mirato in quanto il volume non è abbastanza grande da causare grossi problemi e il file non esiste da nessuna parte, quindi tentare ancora e ancora non è utile ...
Potrebbe essere una sorta di giorno zero per qualcosa che è venuto con uno strumento che includeva lo spoofing degli user-agent e una sorta di codice "trova alcuni URL validi attraverso Google", ma sarebbe anche strano? E perché non indovinare una specie di /pathwiththelibraryname di indovinare tra?
L'unica cosa che posso trovare con quel nome file è una sorta di webcalendar ma il file stesso sembra abbastanza pulito (solo alcuni funzione), quindi dubito che sia così.
Sono solo curioso di sapere cosa potrebbe essere (e infastidito dagli errori che crea nei miei file di log, ma questa è un'altra cosa :))