P: Estranho tráfego na web - Isso é um ataque?

Navegue suas respostas
2

Recentemente, notei algum tráfego estranho nos meus registros de acesso nginx. Não tenho certeza se isso indica um ataque, um erro ou outra coisa. Eu comecei a enviá-los para o HTTP 444, então esses registros indicarão isso.

1) Eu notei um aumento no tráfego e, ao verificar os logs, eu os solicitei após uma solicitação como esta:

121.32.149.215 - - [28/Nov/2015:06:27:00 +0000] "GET / HTTP/1.1" 444 0 "http://vp.f8bet.com/wf360.html" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63 Safari/537.36" "-"

Eles vêm de diferentes IPs e diferentes agentes de usuários. Muitos deles. A parte estranha é que a página de referência tem o meu TLD como o src para uma tag de script. Meu site não está retornando nenhum JS desse URL, por isso ele apenas atinge o índice do site. Se eu fosse menos legal, eu poderia começar a retornar algum JS médio lá. Acho que isso pode ser apenas spam de referência, mas não tenho certeza.

2) Eu também estou recebendo muitos pedidos como este:

190.137.153.244 - - [28/Nov/2015:06:07:16 +0000] "GET / HTTP/1.1" 302 97 "-" "WhatsApp" "-"

Eles também vêm de vários IPs e têm o WhatsApp como agente do usuário. A parte interessante aqui é que eles são vários subdomínios (palavras espanholas aparentemente aleatórias), que são resolvidos por causa de um curinga. Eu removi o caractere curinga para matar alguns deles e acabei bloqueando também todo o tráfego de agente do usuário do WhatsApp.

Estou recebendo alguns sob um subdomínio espanhol com "MJ12bot" como o referenciador também. "MJ12bot" aparece semi-legítimo, mas se for um rastreador real, o subdomínio nunca é algo que existia especificamente.

Como qualquer pessoa, recebo ataques aleatórios durante todo o dia, mas o primeiro é muito específico, e acho o segundo interessante devido aos subdomínios. Ambos têm me acertado continuamente na última semana.

Alguém tem pensamentos sobre o propósito destes pedidos e se eu deveria fazer algo mais do que apenas enviá-los para o 444 e estar no meu caminho?

    
por user153775 28.11.2015 / 07:42

1 resposta

2

Há duas perguntas aqui. Respondo ao segundo: não é um ataque, é por causa da maneira como as pessoas digitam e coisas que parecem nomes de domínio sendo tratados como links automaticamente.

Eu notei muitos pedidos de link do agente do usuário "WhatsApp". O meu quase sempre vem da Malásia. Eu tinha uma visão melhor dos logs e, assim como você, eles eram pedidos de vários subdomínios (inexistentes). Meu palpite é que os usuários do WhatsApp digitam usando pontos / pontos em vez de espaços, o que, por sua vez, leva a nomes de domínio com aparência válida. O WhatsApp aparentemente procura esse link, talvez para verificar se há conteúdo perigoso?

Exemplos: 

Original request: ah.kakak.ini.ndak.percaya.gimana.ak.mau.tidur.di.mana.bingung.ak.kak.be
Google Translate: This sister ah not believe how I want to sleep where kak be confused ak

Original request: kak.maafkan.adik.pliz.kak.be
Google Translate: kak kak be forgiven sister pliz

De acordo com o o Wikcionário Inglês , "kak" / "kakak" denota uma irmã ou irmão (mais velho) . Heh.

Então, sim, nada para se preocupar. Isto é, se você.você.ml.me.

    
por 22.01.2016 / 10:50

Tags

Modo passivo para vsftpd do cliente FTP da linha de comandos do Windows WSUS e comportamento de patch retirado / re-lançado?