Ho appena acquistato un nuovo VPS con Linode. Ho installato Apache e ho notato un comportamento molto strano che ho visto in modo coerente in tutti i log. In pratica, continuo a ricevere richieste POST HTTP estranee all'indice / dagli indirizzi IP mediorientali (Afghanistan, Iran, Arabia Saudita e alcuni paesi asiatici insignificanti). Acccess_log mostra che ogni pochi minuti ricevo una raffica di POST HTTP da un indirizzo IP, come
180.94.91.236 - - [26/Jul/2016:04:54:43 +0000] "POST / HTTP/1.1" 200 147 "-" "-"
180.94.91.236 - - [26/Jul/2016:04:54:44 +0000] "POST / HTTP/1.1" 200 147 "-" "-"
180.94.91.236 - - [26/Jul/2016:04:54:45 +0000] "POST / HTTP/1.1" 200 147 "-" "-"
180.94.91.236 - - [26/Jul/2016:04:54:45 +0000] "POST / HTTP/1.1" 200 147 "-" "-"
180.94.91.236 - - [26/Jul/2016:04:54:46 +0000] "POST / HTTP/1.1" 200 147 "-" "-"
180.94.91.236 - - [26/Jul/2016:04:54:47 +0000] "POST / HTTP/1.1" 200 147 "-" "-"
180.94.91.236 - - [26/Jul/2016:04:54:47 +0000] "POST / HTTP/1.1" 200 147 "-" "-"
Ero davvero curioso di sapere cosa mi stavano mandando questi server, quindi ho pensato di creare uno script PHP che registrasse i dati inviati in queste richieste. Quello che ho scoperto è che non c'erano dati contenuti nella richiesta POST. L'unico dato presente era un singolo cookie, che conteneva un nome di cookie (una lettera maiuscola casuale) ma nessun dato.
Quindi per esempio nella richiesta ci sarà un cookie chiamato M
per esempio, e niente in esso. Il prossimo cookie sarebbe una lettera maiuscola ASCII maiuscola diversa.
Quindi, questo è davvero strano, sono davvero interessato a cosa sia. Alcuni degli indirizzi IP sembrano appartenere ai governi, mentre altri no. Non so cosa fare di questo, non penso che sia una specie di scanner in quanto questi non sembra che stiano provando per qualcosa. Semplicemente non capisco, qualcuno ha qualche idea di cosa potrebbe essere?