Stavo esaminando il mio file di registro del server web questo pomeriggio quando ho visto un paio di voci come questa, di cui non ero contento e ho bandito l'IP in iptables.
113.90.122.99 - - [20/Sep/2016:19:07:58 +0100] "GET /maintenance-guide.php?operation=showrss&v=2&at1=31A2319C31AE31B2326E321A319431C631A2319E324231AC31A231A031AC319431A231A0319831A032423238BA&at2=10724&at3=D9C01B841A3D154913D44BF09EB9FD1C&at4=EYZ3eHDALFZTwO5Gxv2dlfdT+u9KiSCU HTTP/1.1" 200 845 "-" "Mozilla/4.0 (compatible; MSIE8.0; Windows NT 6.0) .NET CLR 2.0.50727)"
113.90.122.99 - - [20/Sep/2016:19:07:59 +0100] "GET /board.php?operation=showrss&v=2&at1=31A2319C31AE31B2326E321A319431C631A2319E324231AC31A231A031AC319431A231A0319831A032423238BA&at2=10724&at3=D9C01B841A3D154913D44BF09EB9FD1C&at4=EYZ3eHDALFZTwO5Gxv2dlfdT+u9KiSCU HTTP/1.1" 200 838 "-" "Mozilla/4.0 (compatible; MSIE8.0; Windows NT 6.0) .NET CLR 2.0.50727)"
113.90.122.99 - - [20/Sep/2016:19:08:00 +0100] "GET /links.php HTTP/1.1" 200 3097 "-" "Mozilla/4.0 (compatible; MSIE8.0; Windows NT 6.0) .NET CLR 2.0.50727)"
Più tardi nel corso della giornata, sono stato contattato dal proprietario di un altro sito (che il mio sito ha un singolo <a> nella pagina link.php) e mi ha informato che il mio indirizzo IP sembra lanciare un attacco DOS contro il suo sito web e quanto sopra è l'ultima attività discutibile che ho visto.
Che cosa mostrano i log di accesso? È un attacco Cross Site Scripting o è qualcos'altro? Non credo che i dati nei parametri GET siano codificati Base64 o codificati URL.