Ieri alle 3:00 il nostro Fail2ban ha bloccato un IP, non tremendamente raro, tuttavia sembra riguardare un indirizzo Microsoft. Questo potrebbe essere un server Azure utilizzato per l'abuso.
La mia preoccupazione principale è esattamente cosa stava tentando di fare e se dovessi essere interessato. Si prega di consultare i seguenti estratti:
13.67.210.80 - - [08/Jun/2016:03:03:25 +0100] "GET /event/-1;select%20pg_sleep(6);%20--%20/admin/profile/ href= HTTP/1.1" 200 139
13.67.210.80 - - [08/Jun/2016:03:03:27 +0100] "GET /-1'%20OR%202%2b395-395-1%3d0%2b0%2b0%2b1%20--%20/edit HTTP/1.1" 200 139 "
13.67.210.80 - - [08/Jun/2016:03:03:23 +0100] "GET /(select(0)from(select(sleep(6)))v)/*'%2b(select(0)from(select(sleep(6)))v)%2b'%22%2b(select(0)from(select(sleep(6)))v)%2b%22*//
13.67.210.80 - - [08/Jun/2016:03:03:27 +0100] "GET /if(now()%3dsysdate()%2csleep(12)%2c0)/*'XOR(if(now()%3dsysdate()%2csleep(12)%2c0))OR'%22XOR(if(now()%3dsysdate()%2csleep(12)%2c0))OR%22*//
Naturalmente ci sono molte altre richieste, molte delle quali sono "normali", non cercando di inserire alcun tipo di codice, ma solo tentando di modificare sezioni del sito (senza risultati)
Ho notato diversi riferimenti alla società di vulnerabilità web Acunetix, come richieste di:
/acunetix-wvs-test-for-some-inexistent-file
Quindi posso solo supporre che qualcuno stia usando i loro servizi per cercare di fare buchi nel nostro sistema.
La mia domanda è, cosa stavano cercando di fare ?, cosa posso fare a riguardo e dovrei anche interessarmene?
Devo contattare una delle società di cui sopra o sono eventi comuni?