Quale esposizione alla sicurezza (se presente) può derivare da molti riferimenti apparentemente dispari nel log del server

0

Vedo relativamente molti referrers come il seguente (come riportato da Webalizer) in un log del server web. Il server si trova fuori dalla Russia ed è piccolo.

  8     3  http://tiandeural.ru/ 
 19     3  http://timetorest.biz/ 
 20     3  http://vigrx-original.ru/ 
 21     3  http://www.rukinolenta.ru/
 22     2  http://www.arenda.triumf-realty.ru/

Cosa sta succedendo qui? Perché tutte queste entità (o entità singola) si prendono la briga di riferirsi (magari anche collegando) al sito? È questo un tentativo di aumentare i ranghi delle pagine o un tentativo di attirare ingenui amministratori di (forse) siti di phishing? In ogni caso, il modello sembra sospetto e mi chiedo se ci sia una reazione migliore del semplice ignorare tali blocchi di riferimenti apparentemente dispari.

    
posta Drux 03.01.2014 - 19:05
fonte

1 risposta

2

C'è una cosa chiamata Spam di segnalazione , di cui il tuo caso potrebbe essere un'istanza.

In alternativa, le richieste possono far parte di una sorta di scansione automatizzata e di test per possibili vulnerabilità e l'autore dell'attacco include un referente HTTP valori di intestazione come un modo per rendere le richieste più "genuine" e quindi bypassare alcuni sistemi di rilevamento delle intrusioni di base. Quando si ha un server online, si ottengono molte richieste molto stupide da botnet prive di intelligenza che cercano nuovi host da infettare e possono permettersi di provare indirizzi IP casuali ciecamente con tentativi di attacco che funzionano su una sola su un milione di macchine (le botnet sono paziente ).

La cosa migliore da fare è ignorarli. Il vero problema con tali richieste è che riducono l'utilità dei log e possono farti perdere alcuni importanti indizi su attacchi più mirati e pericolosi.

    
risposta data 03.01.2014 - 19:25
fonte

Leggi altre domande sui tag