Richieste http sospette nei miei registri: * .html / RS = ^

Naviga le tue risposte
1

Vedo alcune strane (sospette?) richieste HTTP nel mio webserver.

Esempio: 

192.161.x.x - - [14/Mar/2014:21:55:36 -0300] "GET /ce/c02i.html/RS=^ADAD3F3nOTvuESWLtAiP39aTQZiSRQ- HTTP/1.0" 404 881 "http://example.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.110 Safari/537.36" "-"

Il modello comune sembra essere:

  • Viene richiesta una pagina HTML valida, ma con una stringa aggiuntiva /RS=^ADA.... allegata, che rende la richiesta non valida
  • La stringa che segue ADA .... (sembra essere un po 'hash) varia
  • Il referer sembra simulato, è sempre il vero dominio (sostituito qui da 'example.com'), che in realtà non ha collegamenti a quelle pagine html.
  • Le richieste provengono da diversi IP (non correlati). Normalmente questa è la singola richiesta proveniente da quell'IP.
  • Il programma utente è sempre esattamente lo stesso di sopra, falso, credo.

L'unica menzione che ho trovato non è stata molto istruttiva. Questo è un tentativo di exploit noto?

    
posta leonbloy 17.03.2014 - 20:26
fonte

1 risposta

2

È un attacco drive-by contro alcuni CMS oscuri, e sembra che il tuo sito non esegua quel CMS, quindi non me ne preoccuperei. Alcuni bot stanno solo navigando nel web e alla cieca alla ricerca di pagine che potrebbero essere sfruttabili. Questo è probabilmente il motivo per cui la ricerca di Google menzionata nel link che hai fornito rimanda a così tante pagine indesiderate / spam.

    
risposta data 17.03.2014 - 23:42
fonte

Leggi altre domande sui tag

La disabilitazione della ripresa / rinegoziazione attenuerebbe il problema del triplo handshake? Come può essere possibile? (autoinstallazione di malware su Chrome)