Il mio cliente è chi sta eseguendo una versione recente di vBulletin sta facendo molte attività strane e non riesco a spiegare cosa sta cercando di ottenere l'autore dell'attacco.
L'utente malintenzionato registra un account utente falso nel forum con dettagli personali chiaramente definiti. Quindi iniziamo a ricevere centinaia di hit nella pagina membro di questo utente falso. Gli hit provengono tutti dallo stesso indirizzo IP e presentano il campo REFERRER nell'intestazione che sembra essere doppiamente reindirizzato attraverso due diversi siti Web di terze parti che presentano vulnerabilità di reindirizzamento aperte. (cioè, con un URL appositamente predisposto, genererà un reindirizzamento su un altro sito)
Le voci del registro httpd appaiono tutte in questo modo. Questi sono stati resi anonimi, ma tu hai l'idea. www.cccccc.ccc è il sito del mio cliente. openredirect.aaaa, openredirect.bbbb, etc sono vari siti web in tutto il mondo. Ce ne sono centinaia di diversi usati.
77.97.xxx.xxx - - [12/Dec/2014:09:18:11 -0500] "GET /forums/member.php?SomeUser HTTP/1.1" 200 8974
"http://www.openredirect.zzz/exit/?url=http://openredirect.yyyy/away.php?to=http://www.cccccc.ccccc/forums/member.php?u=SomeUser"
"Opera/9.80 (Windows NT 6.2; Win64; x64) Presto/2.12.388 Version/12.16"
77.97.xxx.xxx - - [12/Dec/2014:09:18:12 -0500] "GET /forums/member.php?u=SomeUser HTTP/1.1" 301 -
"http://www.openredirect.aaa/jsps//recommend.jsp?url=http://openredirect.bbbb/forum/visit.php?url=http://www.cccccc.cccc/forums/member.php?u=SomeUser"
"Opera/9.80 (Windows NT 6.2; Win64; x64) Presto/2.12.388 Version/12.16"
ripeti sopra 100 di volte in un breve intervallo, tutti dallo stesso IP sorgente, tutti alla stessa pagina del profilo membro, ma con diversi set di reindirizzamenti nel campo REFERRER.
Non c'è niente di interessante sulla pagina del profilo del membro che viene richiesta. Solo alcuni dettagli personali. Nessuno script incorporato, ecc. Ho controllato il codice del forum e non sembra che stia facendo nulla con il campo REFERRER che posso vedere (come provare a eseguire il ping o altro).
Una cosa strana che ho notato è che alcune richieste hanno un codice di 200 risultati e altre hanno un 301, ma non riesco a capire qual è la differenza.
Alcuni giorni fa ho cercato in modo approfondito informazioni su qualsiasi tipo di attacco come questo, ma sono venuto fuori vuoto.
La principale minaccia al nostro sito è che tutte le richieste arrivano abbastanza rapidamente e talvolta sovraccaricano il nostro server causando alla fine un parziale rifiuto del servizio. (ma posso pensare a modi molto più efficaci di causare DOS se quello era l'obiettivo finale, quindi non credo che lo sia). In questo momento stiamo giocando a whack-a-mole, bloccando un nuovo indirizzo IP sorgente ogni pochi giorni.
Sebbene possano essere utilizzate varie tecniche per impedire che ciò accada e alla fine scopriremo l'approccio migliore per bloccare questo problema, la mia domanda principale qui è che cosa sta tentando di realizzare l'attaccante?