Bota solicitando recurso estranho em logs do apache

Navegue suas respostas
3
Ao estudar para o exame RHSCA, configurei meu primeiro servidor doméstico e descobri rapidamente que os bots já haviam começado a solicitar arquivos comumente vulneráveis. Foi alarmante a princípio, depois simplesmente divertido quando descobri quão inofensivas e ineficazes eram essas tentativas.

Agora estou vendo alguns pedidos estranhos no meu apache access_log que eu simplesmente não entendi e esperava que alguém pudesse ajudar a esclarecer para mim.

Não entendo porque o bot solicitaria outro servidor a partir do caminho do meu servidor. No meu entender, o bot está solicitando o seguinte recurso no log abaixo: link 

58.218.199.250 - - [15/Sep/2012:06:47:38 -0500] "GET http://61.152.144.145/judge.php HTTP/1.1" 404 287 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"

Isso nem faz sentido. Estou recebendo algumas dessas solicitações absurdas e fiquei me perguntando se solicitar outro servidor do servidor de outra pessoa pode de alguma forma ser útil para um intruso ou se é apenas um script infantil que não tem idéia do que está fazendo.

Mais alguns exemplos disso no meu log de acesso. 

58.218.199.250 - - [14/Sep/2012:05:28:48 -0500] "GET http://59.53.91.9/proxy/judge.php HTTP/1.1" 404 289 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
59.53.91.9 - - [14/Sep/2012:08:26:55 -0500] "GET http://59.53.91.9/proxyheader.php HTTP/1.0" 404 289 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
59.53.91.9 - - [14/Sep/2012:08:26:57 -0500] "GET http://www.yahoo.com/ HTTP/1.0" 200 101 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
59.53.91.9 - - [14/Sep/2012:13:11:58 -0500] "GET http://59.53.91.9/proxyheader.php HTTP/1.0" 404 289 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
59.53.91.9 - - [14/Sep/2012:13:11:59 -0500] "GET http://www.yahoo.com/ HTTP/1.0" 200 101 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
58.218.199.227 - - [14/Sep/2012:15:34:53 -0500] "GET http://59.53.91.9/httpproxy/proxyheader.php HTTP/1.1" 404 299 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"

Estou pensando que talvez esses bots estejam solicitando esses arquivos para incentivar os administradores do host a visitarem esses endereços devido à sua curiosidade com o objetivo de coletar dados ou algo assim. Eu estou pensando isso principalmente porque eu visitei um e ele fez um whois lookup em mim e exibiu essa informação na página. Eu só tentei um, então não sei se isso é um padrão comum.

Em suma, por que esses bots estão solicitando outros sites da estrutura de arquivos do meu site? Estou usando o CentOS.

    
por Austin 15.09.2012 / 19:53

1 resposta

6

Essas solicitações são exatamente o que um navegador da Web envia para um proxy da Web, portanto, os clientes remotos provavelmente estão pesquisando proxies da Web abertos.

    
por 15.09.2012 / 20:50

Tags

limite stdout para a velocidade de saída do terminal [duplicado] Como percorrer cada arquivo no diretório FTP usando um script bash [duplicado]