Vedo alcune strane (sospette?) richieste HTTP nel mio webserver.
Esempio:
192.161.x.x - - [14/Mar/2014:21:55:36 -0300] "GET /ce/c02i.html/RS=^ADAD3F3nOTvuESWLtAiP39aTQZiSRQ- HTTP/1.0" 404 881 "http://example.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.110 Safari/537.36" "-"
Il modello comune sembra essere:
- Viene richiesta una pagina HTML valida, ma con una stringa aggiuntiva
/RS=^ADA....
allegata, che rende la richiesta non valida - La stringa che segue ADA .... (sembra essere un po 'hash) varia
- Il referer sembra simulato, è sempre il vero dominio (sostituito qui da 'example.com'), che in realtà non ha collegamenti a quelle pagine html.
- Le richieste provengono da diversi IP (non correlati). Normalmente questa è la singola richiesta proveniente da quell'IP.
- Il programma utente è sempre esattamente lo stesso di sopra, falso, credo.
L'unica menzione che ho trovato non è stata molto istruttiva. Questo è un tentativo di exploit noto?