Tengo un sitio web que no ejecuta PHP (decisión de administración) o tiene wordpress instalado. De forma intermitente, recibo algunas solicitudes de páginas wp_login que activan mi IDS. Las solicitudes se entregan con un 404 y estoy seguro de que son solo un bot que busca páginas administrativas de WP para atacar aún más. Sin embargo, en algunos casos, las solicitudes GET son divertidas porque contienen respuesta HTML de algún otro servidor como cuerpo. Por ejemplo,
GET /wp-login.php HTTP/1.1
Host: myhost
Keep-Alive: 300
Connection: keep-alive
Cookie: charitable_session=<SESSID>;wordpressuser_<ID>=+; wordpresspass_<ID>=+; _wp_session=<SESSID>%7C%7C1472773689;
User-Agent: Mozilla/5.0 (Linux; U; Android 2.2) AppleWebKit/533.1 (KHTML, like Gecko) Version/4.0 Mobile Safari/533.1
Content-Type: text/html; charset=utf-8
Content-Length: 35870
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en,en-us;q=0.7,es;q=0.3
Accept-Charset: utf-8;q=0.7,*;q=0.7
<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml" lang="en">
<head>
<title>Oops! The page you are looking for does not exist.</title>
<meta http-equiv="X-UA-Compatible" content="IE=edge" />
<meta name="generator" content="Flynax Classifieds Software" />
<meta charset="UTF-8" />
<meta name="viewport" content="width=device-width, user-scalable=n
o, initial-scale=1, maximum-scale=1" />
<meta name="description" content="" />
<meta name="Keywords" content="" />
<link rel="stylesheet" href="http://tiruvannamalai.co.in/templates/general_wide/css/style.css" />
Esta respuesta de stackoverflow dice que el servidor web DEBE ignorar el cuerpo de la solicitud y estoy seguro de que mi servidor web lo hace.
Mi pregunta es ¿qué beneficio posible puede obtener alguien de este tipo de análisis? ¿Es solo un código defectuoso que canaliza la respuesta de un escaneo a otro (viendo que incluso los encabezados como Content-Length se agregan a la solicitud)?