I risultati di scansione di vulnerabilità potenziali inusuali nei log di Apache

3

Recentemente ho visto voci simili alle seguenti nei miei log di accesso di Apache. Ho sostituito l'indirizzo IP e l'ora con Xs:

access_log:xx.xx.xx.xx - - [xx/xx/xx:xx:xx:xx -0100] "GET /js/query-ui/js/?a.aspectRatio:this.originalSize.width/this.originalSize.height%7c%7c1%3ba=e( HTTP/1.1" 403 222

access_log:xx.xx.xx.xx - - [xx/xx/xx:xx:xx:xx -0100] "GET /js/query-ui/js/?a.aspectRatio:this.originalSize.width/this.originalSize.height||1;a=e( HTTP/1.1" 301 333

access_log:xx.xx.xx.xx - - [xx/xx/xx:xx:xx:xx -0100] "GET /scripts/query-ui/js/]};F.optgroup=F.option;F.tbody=F.tfoot=F.colgroup=F.caption=F.thead;F.th
=F.td;if(!c.support.htmlSerialize)F._default=[1, HTTP/1.1" 404 338

Si noti che le richieste sono diverse e una di esse risponde con una 403 e l'altra una 301. Ci sono in realtà un numero di scansioni correlate a jQuery dagli stessi indirizzi IP. Quasi sempre rispondono con un 403.

Gli indirizzi provengono tutti da paesi che non usano mai il sito web e sono decisamente "utenti non richiesti".

Spesso vedo questo tipo di voce. Non sono riuscito a trovare alcun riferimento a questo attacco su google.

La mia domanda ha due parti:

  • Che cosa sta tentando di fare questo attacco? C'è un compromesso in jQuery, o l'installazione di siti web per usare jQuery?
  • C'è qualche particolare preoccupazione? Sto indovinando che la risposta qui è "no", dato che le richieste sono per lo più di 400 livelli, con il livello occasionale di 300. Tuttavia, ci sono misure di sicurezza che dovrei esaminare per assicurarmi che questo tipo di attacco non possa avere successo?

Indirizzi IP: Provengono da una varietà di IP. Ho incluso un campione qui. A causa della varietà, ho pensato che fossero macchine compromesse (cioè una botnet) ma non ne sono sicuro.

133.50.201.25 (Giappone, dominio universitario)

89.29.175.68 (Trinidad e Tobago, il dominio radice sembra essere senza fini di lucro)

190.156.227.11 (Colombia, non sono sicuro del tipo di dominio).

78.250.250.243 (Francia, nessuna informazione sull'host sembra disponibile)

Ne ho visti altri dall'Italia, dalla Spagna, ecc.

    
posta SCruz 10.01.2016 - 22:35
fonte

1 risposta

2

Niente di cui preoccuparsi.

Questo è un normale rumore di Internet, ci sono molti robot su internet che eseguono la scansione di Internet, anche facendo traversamenti IP completi dalla 1.1.1.1 alla 255.255.255.255 quindi anche se il tuo nome di dominio è conosciuto solo da te, qualcuno alla fine scansiona il tuo indirizzo IP.

Poiché i registri chiamano i file javascript, non c'è nulla di cui preoccuparsi. Apache2 non esegue il codice javascript prima di renderlo, trasmette semplicemente il file così com'è, quindi non c'è vulnerabilità da sfruttare attraverso quel vettore.

Le macchine da cui proviene possono essere qualsiasi cosa, non necessariamente dalla stessa botnet, molto improbabile. Non erano interessati al tuo sito in particolare, effettuavano solo la scansione dell'intero internet e memorizzavano informazioni, versioni ecc.

    
risposta data 16.01.2016 - 05:10
fonte

Leggi altre domande sui tag