Ajuda identificando a origem de solicitações estranhas aparecendo nos logs do servidor

4

Alguém viu isso antes? Não tenho certeza se isso está relacionado ao Google Analytics ou ao UserFly em execução no nosso site ou indica ataques automáticos das máquinas dos usuários.

As solicitações vêm de usuários com todas as strings do agente do usuário e de usuários que fazem solicitações legítimas e de usuários confiáveis. Combinei a string em uma regra mod_rewrite para retornar "proibido", mas gostaria de saber de onde elas vêm. Eles vêm em ondas, nada por uma semana ou mais, do que muitas solicitações em um dia.

As solicitações são para muitas páginas aleatórias no site e, em seguida, tem essa string de consulta ímpar anexada, que varia, mas sempre se parece com algo como:

"GET /&data=%7C%23ujnftubnq%23%3B2392714553497-%23fwfout%23%3B%5C%5E-%23efubjmt%23%3B%5C%5E-%23ujnft%23%3B%5C%5E~ HTTP/1.1"
    
por Devin Ceartas 13.08.2010 / 17:43

3 respostas

1

Isto é (neste ponto) uma espécie de especulação educada (er, Scientific Wild @SS Guess), mas aqui vai:

Algo está procurando ou segmentando PDFs

Aqui está a string de consulta da URL decodificada do seu exemplo acima:

/&data=|#ujnftubnq#;2392714553497-#fwfout#;\^-#efubjmt#;\^-#ujnft#;\^~

Pesquisando "fwfout" , "efubjmt" ou "ujnft" , os únicos resultados que retornaram foram PDFs.

É difícil dizer se esse "algo" é malicioso ou não, sem saber mais sobre o seu ambiente. Pode ser algo tentando pesquisar dentro do PDF em seu site. Pode ser algo tentando encontrar algo para explorar, dadas as recentes vulnerabilidades do Acrobat.

Eu também concordo sobre suspeita de cansaço, esse personagem sempre me faz mexer, a menos que eu digite em mim mesmo.

    
por 13.08.2010 / 17:59
0

Que tipo de coisas você tem no seu servidor?

para # ujnftubnq # # efubjmt # google me retornou algumas informações sobre reserva de recursos em alguns roteadores. Não faço ideia se é relevante ou não: > Apenas um aviso.

    
por 15.08.2010 / 22:17
0

Isso soa como se fosse uma botnet tentando contatá-lo para o comando & controle, especialmente com as ondas. Ou isso ou infecção tenta de um botnet. Se você conhece bem um dos clientes, é bom tentar reunir mais informações de uma das fontes do URL. Despejo de pacotes para ver se ele está em contato com outros sites, além de apenas uma verificação para ver qual processo está fazendo o contato.

    
por 18.08.2010 / 03:33

Tags