(200 ok) ACEITO - Esta é uma tentativa de hacking?

6

Suponho que isso seja algum tipo de tentativa de invasão. Eu tentei pesquisar no Google mas tudo que consigo são sites que parecem já terem sido explorados.

Estou vendo solicitações para uma das minhas páginas com esta aparência.

/listMessages.asp?page=8&catid=5+%28200+ok%29+ACCEPTED

O '(200 ok) ACEITO' é o que é estranho. Mas parece que não faz nada.

Estou executando no IIS 5 e no ASP 3.0. Este "hack" significa algum outro tipo de servidor web?

Editar:

As solicitações normais se parecem com:

/listMessages.asp?page=8&catid=5
    
por Byran 17.03.2010 / 02:37

8 respostas

2

  1. Pode ser que o log esteja errado. Parece uma parte da resposta dentro do URL. Se aparecer nos registros do IIS, tente observar o URL de solicitação usando o sniffer de pacote para garantir que ele seja realmente assim.
  2. Talvez algum script receba um URL malformado, por exemplo pode ser um bug no seu site ASP.

Em geral, pode parecer uma tentativa de crack altamente específica ou especialmente criada para parecer um bug, mas suponho que não seja. Você também deve analisar solicitações anteriores e posteriores desse usuário. Se às vezes acontece de lugares diferentes sem outras coisas suspeitas, é um erro, não tentativas de crack.

    
por 26.03.2010 / 03:49
2

Todos os pedidos são provenientes de um intervalo de IP? Você já tentou executar uma captura de pacotes para ver como são os cabeçalhos de solicitação completa?

    
por 26.03.2010 / 04:00
2

Somente o resultado que vale a pena no Google é isso, então ...

Acabei de mostrar isso em um site do IIS 6 (Server 2003) que gerencio. Neste caso em particular, acerte uma página do ColdFusion (arquivo de modelo básico que é usado em todo o site, incluindo a home page) e apenas cole-a no final da raiz do URI (sem string de consulta).

A mesma solicitação, proveniente de vários IPs diferentes, com o seguinte user-agent comum entre eles:

Mozilla/3.0 (x86 [en] Windows NT 5.1; Sun)

Nenhuma informação de referência passada. 21 pedidos durante 2 minutos, com pouco mais de meia dúzia de IPs únicos. Os países retornados para IP incluem EUA, Bósnia, Malásia, etc.

    
por 18.10.2010 / 20:42
2

Eu acho essas entradas muito interessantes (e não no bom sentido).

/listMessages.asp?page=8&catid=5+%28200+ok%29+ACCEPTED

A análise básica disso do ponto de vista do programa fornece as seguintes variáveis:

page = 8
catid = "5 " + chr(28) + "200 ok" + chr(29) + " ACCEPTED"

A variável catid está sendo corrompida aqui. O código ASCII 28 é o separador de arquivos e o código 29 é o separador de grupos.

Se possível, eu verificaria o processamento da variável catid e, caso contrário, a ignoraria se o programa manuseá-la corretamente (e rejeitá-la).

    
por 13.01.2011 / 21:59
2

Aqui também várias tentativas durante a Páscoa.

/ +% 28200 + ok% 29 + ACEITADO

(200 ok) ACEITO

Isto parece ser verificações aleatórias contra servidores.

O IP pode ser encontrado no banco de dados do Stopforumspam.

link

    
por 26.04.2011 / 08:43
1

Estou recebendo o mesmo tipo de solicitação em um site que executa ASP clássico no IIS 7. Os endereços IP que estou rastreando originam com spammers. Eu também não tenho idéia do que eles estão tentando fazer, e isso não afeta o site adversamente além de nos irritar com erros 404.

Quanto a 200 OK Aceito, é um código de status HTTP: link

    
por 27.04.2010 / 06:20
1

Eu não tenho privilégios suficientes para comentar, mas também recebo isso com a string do navegador:

User agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322; Alexa Toolbar; (R1 1.5))
IP address: 94.45.33.18

Isso é contra um servidor Apache. Não acho que seja um ataque, pois é muito pouco frequente e não causaria nenhum problema em nenhum servidor HTTP em que eu possa pensar, exceto erros 404.

    
por 25.08.2010 / 15:34
0

Resposta curta, pode ser. Mas, dadas as informações que você nos dá, eu diria que não. Mais registros podem alterar a resposta.

    
por 26.03.2010 / 09:30