Solicitações estranhas de URL 404

1

Estou executando um servidor nodejs com o framework expresso. Estou usando o Keymetrics.io para acompanhar o status do meu aplicativo.

Eu tenho acompanhado os erros 500 e 404 e os enviei para Keymetrics e os erros 404 mostram algo estranho que eu não vi antes, espero que alguém possa esclarecer o que é exatamente isso.

Basicamente, continuo recebendo essas solicitações de postagem de URL a cada 2 a 3 minutos:

  • / V9vc4AAAA / JU70M / cUPBuAAA /
  • / QLId / 1Mv30AAAA / lPVraBAAA /
  • / V9vc4AAAA / JU70M / cUPBuAAA /
  • / 85V / xCAA / LamkyCA / 3lMmCAAAAAA /
  • / BXiuX / AuNt / B / bjX /
  • / 3GUYKAAAAAA / 8xjakDAA / LnBQqDA /
  • / 85V / xCAA / LamkyCA / 3lMmCAAAAAA /
  • / Cbeo8A / DsZuoAA / BF3Zj /
  • / 3GUYKAAAAAA / 8xjakDAA / LnBQqDA /
  • / QLId / 1Mv30AAAA / lPVraBAAA /

Obviamente, o meu servidor aponta para uma página 404, mas alguém sabe o que é isso? é um bot? Preciso estar ciente de alguma vulnerabilidade?

Alguns exemplos de cabeçalho das solicitações

{ accept: '*/*',
'user-agent': 'Mozilla/5.0 (Windows; U; MSIE 7.0; Windows NT 6.0; en-US)',
host: '109.235.76.136:8080',
'content-length': '701',
connection: 'Keep-Alive',
'cache-control': 'no-cache',
cookie: 'vacwatch=s%3Am_Rj28ASGR2gLNOoZT385QxXJTaPuGAp.7g89Wz41URpTiJSxQ8R8UaQgMRPUl94NNjruqluZR40' }

{ accept: '*/*',
'user-agent': 'Mozilla/5.0 (Windows; U; MSIE 7.0; Windows NT 6.0; en-US)',
host: '109.235.76.136:8080',
'content-length': '677',
connection: 'Keep-Alive',
'cache-control': 'no-cache',
cookie: 'vacwatch=s%3AfdU50VdWoHd3jSmbbGKt4IXUTWvauxa4.OpRmN39XUis7sDkJrRtn83Uw%2FSo5VyJ1fZRcXT7HWH8' }

edit: os pedidos vêm de vários IP's diferentes

    
por GiveMeAllYourCats 07.05.2015 / 22:29

1 resposta

1

Uau. Então sim. Eu descobri porque esses URLs continuam aparecendo no meu log 404.

Percebi um erro hoje no meu log de exceções de que um email foi rejeitado e não foi entregue. Então, eu verifico os detalhes exatos desse erro porque o e-mail não pôde ser entregue: 550 This message was classified as SPAM and may not be delivered

Então eu verifico uma ferramenta de checagem de listas negras na internet para checar onde eu estava na lista negra e por quê. E eu tenho apenas um resultado dizendo que estou na lista negra por SPAMHAUS.

Eu vou lá para o site e dou meu domínio para um check-up e, de fato. Confirma que estou na sua 'Lista de Bloqueios de Spamhaus'

Eu clico na minha entrada para mais detalhes sobre o bloco e é isso que eu vejo:

The host at this IP address is most likely compromised and 
running a malicious HTTP daemon (nginx) on port 8080 (TCP)
which is being used by cybercriminals to control computers
infected with a Trojan called Feodo.

Feodo botnet controller located here:
http://109.235.76.136:8080/QrdO/fknypBAAAAA/PHmnSCAAAAA/

Feodo is a sophisticated banking Trojan, used to commit 
ebanking fraud. More information about this Trojan can be 
found here: http://blog.fireeye.com/research/2010/10/feodosoff-a-new-botnet-on-the-rise.html

To get this issue solved, you need to locate and identify 
the malicious nginx daemon on the compromised server 
(likely located in a hidden directoy in the /tmp/ directory)
and remove it completely. To avoid that the server gets hacked again, please ensure that you change all SSH credentials (passwords) and that all installed software is up to date (including OS).

More information how you can secure your SSH daemon 
can be found here: http://www.spamhaus.org/faq/section/Generic%20Questions#362

Eu estava confuso, não tenho nenhum nginx em execução, portanto, verifiquei a data da entrada e declarei 2013-11-14 18:39:31 GMT . Portanto, parece que o proprietário anterior desse IP estava infectado com esse botnet. O que basicamente mantém o spam desses pedidos estranhos de postagem de URLs.

    
por 08.05.2015 / 20:22