Bingbot spoof localhost ip

1

Então aqui é divertido. Estou recebendo solicitações bingbot em um determinado horário todos os dias que mata o servidor. Aqui está o pedido:

127.0.0.1 - - [14 / set / 2013: 08: 18: 49 -0500] "GET / HTTP / 1.1" 200 82810 "-" "Mozilla / 5.0 (compatível; bingbot / 2.0; + link ) "

Tenho certeza que você não pode falsificar 127.0.0.1, certo?

E eu verifiquei o servidor mil vezes por qualquer código malicioso, mas eu saí de lá. Pesquisou no google e não encontrou muito. Eu encontrei muitas pessoas com falsificação de bingbot e enviando tantos pedidos que matariam o servidor, mas não usando o endereço IP 127.0.0.1.

Alguém viu isso antes ou tem alguma ideia?

    
por Alan 15.09.2013 / 08:03

1 resposta

0

Eu me pergunto se você tem algum tipo de servidor proxy rodando no servidor web, ou se você tem algum tipo de regra estranha do iptables local conduzindo SNAT para este endereço.

Como alternativa, se você estiver usando um navegador compatível com JavaScript (interativamente?) no servidor, pode ser que você tenha executado um script mal-intencionado que esteja atacando seu servidor.

Você também pode ter algum outro tipo de worm; O problema é que eles costumam usar truques para infectar servidores sem estar no disco em tempo de execução (há várias maneiras de alcançar a persistência ou, às vezes, a persistência é obtida através da infecção de toda a rede). O fato de você não encontrar um vírus no sistema de arquivos não significa que ele não esteja lá; da mesma forma, poderia (como o exemplo malicioso do JS) estar escondido dentro de um processo legítimo.

    
por 15.09.2013 / 15:25