Recientemente encontré algunas entradas en los registros de acceso de nginx que se asemejan a las siguientes:
##.##.##.## - - [24/Sep/2014:01:21:51 -0400] "GET /767/browser-wars-side-show-ho
w-natty-handles-the-load/+++++++++[+%C0%EA%F2%E8%E2%E0%F6%E8%FF+]+Result:+%E8%F1
%EF%EE%EB%FC%E7%EE%E2%E0%ED+%ED%E8%EA%ED%E5%E9%EC+%22azazalolxd%22;+%E2%EE%F8%EB
%E8;+%ED%E5+%ED%E0%F8%EB%EE%F1%FC+%F4%EE%F0%EC%FB+%E4%EB%FF+%EE%F2%EF%F0%E0%E2%E
A%E8; HTTP/1.0" 400 0 "http://2buntu.com/767/browser-wars-side-show-how-natty-ha
ndles-the-load/+++++++++[+%C0%EA%F2%E8%E2%E0%F6%E8%FF+]+Result:+%E8%F1%EF%EE%EB%
FC%E7%EE%E2%E0%ED+%ED%E8%EA%ED%E5%E9%EC+%22azazalolxd%22;+%E2%EE%F8%EB%E8;+%ED%E
5+%ED%E0%F8%EB%EE%F1%FC+%F4%EE%F0%EC%FB+%E4%EB%FF+%EE%F2%EF%F0%E0%E2%EA%E8;" "Mo
zilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/
35.0.1916.153 YaBrowser/14.7.1916.15705 Safari/537.36"
Hubo aproximadamente 10 de estas solicitudes en un lapso de aproximadamente un minuto. Noté que las solicitudes provenían de muchas direcciones IP diferentes, aunque el agente de usuario era idéntico.
¿Es esto un intento de explotar una vulnerabilidad conocida? Nginx parece ser sospechoso y devuelve una respuesta HTTP 400. Una cosa que noté dentro de la ruta solicitada es la cadena:
"azazalolxd"
Eso es bastante sospechoso para una secuencia de caracteres "aleatoria".
¿Debería preocuparme? Las solicitudes parecen haberse detenido por el momento.
Editar: Decidí intentar escapar de algunas de las entidades y se me ocurrió lo siguiente:
%C0%EA%F2%E8%E2%E0%F6%E8%FF = Àêòèâàöèÿ
%E8%F1%EF%EE%EB%FC%E7%EE%E2%E0%ED+%ED%E8%EA%ED%E5%E9%EC+%22 = èñïîëüçîâàí
...
Todos parecen ser caracteres extendidos de Latin-1. ¿Es esta una forma de ataque de Unicode?