La scorsa settimana, i miei registri di traffico mostrano molti hit (di solito con tentativi ripetuti) per un URL di oltre 30 diversi indirizzi IP in tutto il mondo. Questo non è un URL che dovrebbe raccogliere più di un singolo hit e dovrebbe essere accessibile solo tramite un link da una pagina che contiene rel="nofollow"
. L'URL chiama una pagina PHP il cui unico scopo è quello di reindirizzare ad altri siti web in base al parametro di query id=
. L'URL della pagina è
mywebsite.com/linkredirect.php?id=434&site=www.creative-science.org.uk
Il collegamento sopra riportato è anche apparso nei log in altre forme:
/linkredirect.php?site=www.ausetute.com.au&id=266%25%27/**/aND/**/%278%25%27%3D%273
.. there were about 50 different iterations of this - which is attempting sql injection - but I can't figure out the purpose of it.
/linkredirect.php?id=434&site=www.premieresurgical.com
... this is an invalid link - the id=434 is valid but the "site=" query is invalid
Partecipo a Project Honeypot e alcune delle richieste sono sospette e amp; Comment Spammer.
L'agente utente sembra essere sempre:
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_8_3) AppleWebKit/536.28.10 (KHTML, like Gecko) Version/6.0.3 Safari/536.28.10
... or something similar
Forse non correlato, il mio log degli errori mostra due tentativi in quello che appare un tentativo di hacking per accedere a una delle mie directory
[Tue Mar 04 21:32:12 2014] [error] [client 199.21.99.113] Directory index forbidden by Options directive: /home/myusername/public_html/
Che tipo di attacco è questo e qual è lo scopo? Perché preoccuparsi di tentativi ripetuti per lo stesso link? Il mio utilizzo di id=
come parametro di query è un invito a codice maligno da tentare di sfruttare?