El enlace de spam devuelve una redirección vacía a google.com. ¿Me estoy perdiendo algo?

3

En esta pregunta alguien recibió lo que claramente era un enlace de spam. A veces tengo la curiosidad de echar un vistazo, lo que suelo hacer con curl u otras herramientas de la línea de comandos (menos riesgo de malware, aunque estoy en Linux, por lo que generalmente no soy susceptible a la mayoría de estos ataques). Conseguí esto como la respuesta del sitio web:

curl -v 'http://103.208.86.131/'
*   Trying 103.208.86.131...
* TCP_NODELAY set
* Connected to 103.208.86.131 (103.208.86.131) port 80 (#0)
> GET / HTTP/1.1
> Host: 103.208.86.131
> User-Agent: curl/7.56.0
> Accept: */*
> 
< HTTP/1.1 302 Found
< Date: Thu, 13 Sep 2018 18:27:16 GMT
< Server: Apache/2.4.7 (Ubuntu)
< X-Powered-By: PHP/5.5.9-1ubuntu4.25
< Location: https://www.google.com
< Content-Length: 0
< Content-Type: text/html
< 
* Connection #0 to host 103.208.86.131 left intact

No devuelve una respuesta real, sino un redireccionamiento 302 a google.com. Ni siquiera establece una cookie. Por lo que puedo decir, simplemente devuelve un simple redireccionamiento a Google. Esto me dejó ligeramente confundido en cuanto a cuál es el propósito real de esto. Obviamente, los estafadores tienen sus propios problemas técnicos, por lo que esto podría ser un signo de un error (o quizás cierren sus páginas reales por cualquier motivo), pero no puedo evitar preguntarme si quizás:

  1. ¿Hay algo más en esta solicitud / respuesta que me falta?
  2. Hay una razón (aparte de "oops") por la cual un enlace de spam no puede devolver nada más que un redireccionamiento vacío?

Obviamente mi dirección IP está potencialmente ahora en sus registros de servidor, pero no puedo imaginar que solo estuvieran buscando direcciones IP ...

    
pregunta Conor Mancone 13.09.2018 - 20:36
fuente

1 respuesta

5

Mi primera suposición fue que el sitio probablemente estaba usando la cadena de su Agente de Usuario para identificar si usted es vulnerable o no. Como está utilizando curl y no está cambiando el UserAgent, el kit de explotación lo redireccionará a una página inofensiva.

Usé curl con una cadena de agente de usuario IE11, y obtuve la misma redirección. Probablemente mi IP no esté en la lista de las deseadas.

Prospección siguiente: dirección IP.

La dirección IP generalmente se compara con una lista de objetivos deseados, generalmente vinculada a un país. Por lo general, está destinado a mantener el kit de explotación en secreto y solo lo expone a los objetivos interesantes, evitando que sea fácilmente marcado por las compañías de seguridad.

Así que intenté nuevamente usando un proxy del Reino Unido:

http_proxy=88.211.x.x:8080 curl -A 'Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0) like Gecko' -v 'http://103.208.86.131/'
*   Trying 88.211.x.x...
* Connected to 88.211.x.x (88.211.x.x) port 8080 (#0)
> GET http://103.208.86.131/ HTTP/1.1
> Host: 103.208.86.131
> User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0) like Gecko
> Accept: */*
> Proxy-Connection: Keep-Alive
> 
< HTTP/1.1 302 Found
< Date: Thu, 13 Sep 2018 18:48:47 GMT
< Server: Apache/2.4.7 (Ubuntu)
< X-Powered-By: PHP/5.5.9-1ubuntu4.25
< Location: index2.php?&sessionid=08bcaee2029a8a766175c5c8cebc8bff&securessl=true
< Content-Length: 0
< Content-Type: text/html
< 
* Connection #0 to host 88.211.x.x left intact

Y se conectó, me redirigió a otra página.

    
respondido por el ThoriumBR 13.09.2018 - 20:42
fuente

Lea otras preguntas en las etiquetas