Na semana passada, meus registros de tráfego estão mostrando muitos acessos (geralmente com tentativas repetidas) para um URL de talvez mais de 30 endereços IP diferentes em todo o mundo. Esta não é uma URL que deve reunir mais de um único hit e deve ser acessada apenas por meio de um link de uma página que contenha. A URL chama um php cuja única finalidade é redirecionar para outros sites com base no parâmetro de consulta id= . A URL da página é
mywebsite.com/linkredirect.php?id=434&site=www.creative-science.org.uk
O link acima também apareceu nos registros de outras formas:
/linkredirect.php?site=www.ausetute.com.au&id=266%25%27/**/aND/**/%278%25%27%3D%273
.. there were about 50 different iterations of this - which is attempting sql injection - but I can't figure out the purpose of it.
/linkredirect.php?id=434&site=www.premieresurgical.com
... this is an invalid link - the id=434 is valid but the "site=" query is invalid
Participo do Project Honeypot e algumas das solicitações são Suspicious & Comentar spammer
O agente do usuário parece ser sempre:
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_8_3) AppleWebKit/536.28.10 (KHTML, like Gecko) Version/6.0.3 Safari/536.28.10
... or something similar
Talvez não relacionado, meu log de erros mostra duas tentativas no que parece ser uma tentativa de hack de acessar um dos meus diretórios
[Tue Mar 04 21:32:12 2014] [error] [client 199.21.99.113] Directory index forbidden by Options directive: /home/myusername/public_html/
Que tipo de ataque é este e qual é o propósito? Por que repetidamente tentaria acessar o mesmo link? Meu uso de id= como um parâmetro de consulta é um convite para que um código mal-intencionado tente explorar?
Obrigado pela sua contribuição.