O que é o método de solicitação HTTP COOK em meus logs?

9

Estou vendo entradas nos meus logs do Apache, como as seguintes

178.216.185.210 - - [24/Feb/2014:11:46:40 -0500] "COOK /freesearch.php?portal=0a9&... HTTP/1.0" 303 589 "-" "Mozilla/4.0 (compatible; Synapse)"

com COOK no lugar do usual GET ou POST .

Eu tentei vários termos de pesquisa e não encontrei nenhuma informação sobre o que isso poderia ser. Também pesquisei a string user-agent e descobri que é provável que um script tenha sido criado com Ararat Synapse . E, a julgar pelas outras solicitações feitas com essa string de agente do usuário, essa pessoa não tem nada de bom.

Então, isso é apenas um método de solicitação inventada?

Como o Apache manipula métodos de solicitação desconhecidos? O código de status de resposta para todas as solicitações COOK é registrado como 303. Então o Apache está dizendo Ver Outros e apenas fornecendo o mesmo URI? Eu não vejo outro hit do mesmo IP, então estou assumindo que a resposta é simplesmente registrada ou ignorada. Eles provavelmente voltarão depois de outro IP.

Então meu script nunca é executado, correto?

    
por toxalot 01.03.2014 / 04:56

3 respostas

11

Não é um método definido em nenhum padrão HTTP, com certeza. Provavelmente alguns métodos 'personalizados' implementados por servidores web proprietários.

Como é um método desconhecido, o Apache não deve executar nada. De acordo com o artigo da Wikipedia sobre HTTP 303 , e cito:

This response indicates that the correct response can be found under a different URI and should be retrieved using a GET method.

Então, basicamente, o Apache está dizendo ao cliente para tentar novamente o pedido usando o método GET.

    
por 01.03.2014 / 14:25
10

O verbo COOK parece ser sinônimo da string User-Agent contendo "Synapse". O termo Synapse é uma biblioteca TCP / IP livre escrita em Pascal (veja aqui: link ) que é usado para criar bots, raspadores e rastreadores, bem como outros softwares legítimos.

    
por 18.03.2014 / 15:34
3

Geralmente, esse método de ataque está vinculado a um agente do usuário, como mencionado anteriormente, como o SYNAPSE, e porque essa ferramenta é comumente usada para rastreamento e pesquisa mal-intencionados é provavelmente usada nesse método como uma maneira de investigar se você estiver bloqueando ou tiver algum tipo de firewall ou aplicativo em vigor que será bloqueado com base em Métodos HTTP desconhecidos. Dependendo da resposta, você poderá obter informações sobre as ferramentas utilizadas.

Sabendo que você tem um firewall ou algum tipo de outra ferramenta para negar essas solicitações, eles criam o ataque para evitar comportamentos comuns de bloqueio usados por esse tipo de firewall / ferramenta.

    
por 15.01.2015 / 02:56