Resultados de exploración de vulnerabilidad inusual en registros de Apache

Navega tus respuestas
3

Recientemente he visto entradas similares a las siguientes en mis registros de acceso de Apache. He reemplazado la dirección IP y el tiempo con Xs: 

access_log:xx.xx.xx.xx - - [xx/xx/xx:xx:xx:xx -0100] "GET /js/query-ui/js/?a.aspectRatio:this.originalSize.width/this.originalSize.height%7c%7c1%3ba=e( HTTP/1.1" 403 222

access_log:xx.xx.xx.xx - - [xx/xx/xx:xx:xx:xx -0100] "GET /js/query-ui/js/?a.aspectRatio:this.originalSize.width/this.originalSize.height||1;a=e( HTTP/1.1" 301 333

access_log:xx.xx.xx.xx - - [xx/xx/xx:xx:xx:xx -0100] "GET /scripts/query-ui/js/]};F.optgroup=F.option;F.tbody=F.tfoot=F.colgroup=F.caption=F.thead;F.th
=F.td;if(!c.support.htmlSerialize)F._default=[1, HTTP/1.1" 404 338

Tenga en cuenta que las solicitudes son diferentes, y una de ellas responde con un 403, y la otra con 301. En realidad, hay una serie de exploraciones relacionadas con jQuery de las mismas direcciones IP. Casi siempre responden con un 403.

Todas las direcciones provienen de países que nunca usan el sitio web y definitivamente son "usuarios no solicitados".

Con mucha frecuencia veo este tipo de entrada. No pude encontrar ninguna referencia a este ataque en google.

Mi pregunta realmente tiene dos partes:

  • ¿Qué está intentando hacer este ataque? ¿Existe algún compromiso en jQuery o en la configuración de sitios web para usar jQuery?
  • ¿Hay alguna preocupación en particular? Supongo que la respuesta aquí es "no", dado que las solicitudes son principalmente de nivel 400, con el nivel ocasional de 300. Sin embargo, ¿hay medidas de seguridad que debería considerar para asegurarme de que este tipo de ataque no pueda tener éxito?

Direcciones IP: Vienen de una variedad de IPs. He incluido una muestra aquí. Debido a la variedad, asumí que eran máquinas comprometidas (es decir, una red de bots) pero no estoy seguro.

133.50.201.25 (Japón, dominio universitario)

89.29.175.68 (Trinidad y Tobago, el dominio raíz parece ser sin fines de lucro)

190.156.227.11 (Colombia, no estoy seguro de qué tipo de dominio).

78.250.250.243 (Francia, no parece haber información disponible sobre el host)

He visto a otros de Italia, España, etc.

    
pregunta SCruz 10.01.2016 - 22:35
fuente

1 respuesta

2

No hay de qué preocuparse.

Esto es ruido normal de Internet, hay muchos robots en Internet que escanean Internet, incluso realizando recorridos completos de IP de 1.1.1.1 a 255.255.255.255, por lo que incluso si su nombre de dominio solo lo conoce usted, eventualmente alguien escanear su dirección IP.

Dado que los registros están llamando a archivos javascript, no hay nada de qué preocuparse. Apache2 no ejecuta el código javascript antes de representarlo, simplemente transmite el archivo tal como está, por lo que no existe una vulnerabilidad que pueda explotar a través de ese vector.

Las máquinas de donde viene esto pueden ser cualquier cosa, no necesariamente de la misma red de bots, muy poco probable. No estaban interesados en su sitio en particular, simplemente escanean todo el Internet y almacenan información, versiones, etc.

    
respondido por el Wadih M. 16.01.2016 - 05:10
fuente

Lea otras preguntas en las etiquetas

¿El código abierto implica autenticidad? Problema de ataque de autenticación de MDK3: cada estación se desconecta