Recientemente he visto entradas similares a las siguientes en mis registros de acceso de Apache. He reemplazado la dirección IP y el tiempo con Xs:
access_log:xx.xx.xx.xx - - [xx/xx/xx:xx:xx:xx -0100] "GET /js/query-ui/js/?a.aspectRatio:this.originalSize.width/this.originalSize.height%7c%7c1%3ba=e( HTTP/1.1" 403 222
access_log:xx.xx.xx.xx - - [xx/xx/xx:xx:xx:xx -0100] "GET /js/query-ui/js/?a.aspectRatio:this.originalSize.width/this.originalSize.height||1;a=e( HTTP/1.1" 301 333
access_log:xx.xx.xx.xx - - [xx/xx/xx:xx:xx:xx -0100] "GET /scripts/query-ui/js/]};F.optgroup=F.option;F.tbody=F.tfoot=F.colgroup=F.caption=F.thead;F.th
=F.td;if(!c.support.htmlSerialize)F._default=[1, HTTP/1.1" 404 338
Tenga en cuenta que las solicitudes son diferentes, y una de ellas responde con un 403, y la otra con 301. En realidad, hay una serie de exploraciones relacionadas con jQuery de las mismas direcciones IP. Casi siempre responden con un 403.
Todas las direcciones provienen de países que nunca usan el sitio web y definitivamente son "usuarios no solicitados".
Con mucha frecuencia veo este tipo de entrada. No pude encontrar ninguna referencia a este ataque en google.
Mi pregunta realmente tiene dos partes:
- ¿Qué está intentando hacer este ataque? ¿Existe algún compromiso en jQuery o en la configuración de sitios web para usar jQuery?
- ¿Hay alguna preocupación en particular? Supongo que la respuesta aquí es "no", dado que las solicitudes son principalmente de nivel 400, con el nivel ocasional de 300. Sin embargo, ¿hay medidas de seguridad que debería considerar para asegurarme de que este tipo de ataque no pueda tener éxito?
Direcciones IP: Vienen de una variedad de IPs. He incluido una muestra aquí. Debido a la variedad, asumí que eran máquinas comprometidas (es decir, una red de bots) pero no estoy seguro.
133.50.201.25 (Japón, dominio universitario)
89.29.175.68 (Trinidad y Tobago, el dominio raíz parece ser sin fines de lucro)
190.156.227.11 (Colombia, no estoy seguro de qué tipo de dominio).
78.250.250.243 (Francia, no parece haber información disponible sobre el host)
He visto a otros de Italia, España, etc.