De repente, a partir de la tarde de ayer (gmt + 2), recibo muchos de los "errores sospechosos" de bots que buscan variaciones de este archivo:
/somerealpath/includes/formvars.php
Tengo curiosidad por saber qué es esto, y ¿por qué de repente estas exploraciones?
Todos parecen escanear el mismo par de caminos. Podrían estar recibiendo estos como los primeros xx google hits, pero son exactamente los mismos cada vez.
- La raíz,
- un subdirectorio especial
- un pdf en ese subdirectorio.
Los escaneos provienen de varias direcciones IP, pero todos tienen un agente de usuario:
"Mozilla/5.0 (iPad; U; CPU OS 3_2_1 like Mac OS X; en-us) AppleWebKit/531.21.10 (KHTML, like Gecko) Mobile/7B405"
¿Cuál, para algún tipo de escaneo de problemas de seguridad parece extraño: por qué todos escanearían con la misma herramienta? ¿Por qué todos utilizan las mismas URL para verificar el archivo?
Dudo que piense que es un ataque dirigido ya que el volumen no es lo suficientemente grande como para causar problemas importantes, y el archivo no existe en ninguna parte, por lo que intentarlo una y otra vez no es útil ...
Podría ser una especie de día cero para algo que venía con una herramienta que incluía la suplantación de identidad por parte del usuario-agente y algún tipo de código "encontrar algunas URL válidas a través de google", ¿pero eso también sería extraño? ¿Y por qué no adivinar algún tipo de /pathwiththelibraryname
conjetura en el medio?
Lo único que puedo encontrar con ese nombre de archivo es una especie de webcalendar pero el archivo en sí parece lo suficientemente limpio (solo algunos función), así que dudo que sea eso.
Solo tengo curiosidad por lo que podría ser (y me molesta los errores que crea en mis archivos de registro, pero eso es otra cosa :))