Ho visto un po 'di traffico strano nei log per un'applicazione web (Apache) di cui mi sto chiedendo, e spero che qualcuno qui lo abbia già visto prima.
Le richieste non elaborate erano variazioni di:
http://[site]/Ajax/Basket/Add/e7199c8c-91a0-11e3-9f97-001c42f03a04/function%20()%20%7B%20%20%20%20var%20what,%20a%20=%20arguments,%20L%20=%20a.length,%20ax;%20%20%20%20while%20(L%20&&%20this.length)%20%7B%20%20%20%20%20%20%20%20what%20=%20a%5B--L%5D;%20%20%20%20%20%20%20%20while%20((ax%20=%20this.indexOf(what))%20!==%20-1)%20%7B%20%20%20%20%20%20%20%20%20%20%20%20this.splice(ax,%201);%20%20%20%20%20%20%20%20%7D%20%20%20%20%7D%20%20%20%20return%20this;%7D
che decodifica ciò che sembra una funzione JavaScript per incollare tutti i dati restituiti:
function() { var what, a = arguments, L = a.length, ax; while (L && this.length) { what = a[--L]; while ((ax = this.indexOf(what)) !== -1) { this.splice(ax, 1); } } return this; }
Ho rintracciato gli indirizzi IP per alcuni di essi e provengono da poche fonti diverse:
- 107.223.168.139 (Servizi Internet AT & T);
- Varie 10. . . * (rete aziendale interna);
- Un IP esterno per la rete aziendale;
- Una rete client;
- 199.91.135.140 (Bluecoat Systems, Inc.); e
- 98.30.221.237 (Road Runner)
Questo sembra come potrebbe essere l'inizio di un tentativo di exploit, anche se non sono sicuro di quali informazioni utili verrebbero raccolte, poiché la risposta non è altro che un errore di struttura JSON- pacchetto di dettagli:
{ "Details":"Traceback (most recent call last):\n File \"/var/www/[application]-client/index.py\", line ####, in _AjaxResponder\n '%s could be found' % ( resourceId ) )\nRuntimeError: No resource with an id of function () { var what, a = arguments, L = a.length, ax; while (L && this.length) { what = a[--L]; while ((ax = this.indexOf(what)) !== -1) { this.splice(ax, 1); } } return this;} could be found\n", "Error":"RuntimeError:No resource with an id of function () { var what, a = arguments, L = a.length, ax; while (L && this.length) { what = a[--L]; while ((ax = this.indexOf(what)) !== -1) { this.splice(ax, 1); } } return this;} could be found" }
A questo punto non vediamo nessun rischio significativo, ma mi sono trovato a chiedermi se qualcun altro l'ha incontrato o vede qualcosa di cui preoccuparsi?