Estoy viendo un ataque muy extraño esta mañana desde un montón de instancias de VPS repartidas por todo Estados Unidos. Las URL se ven así:
-
/js/bundles/,!0):this.element.propAttr(
-
/js/bundles/&this.buttons.button(
-
/js/bundles/),this===i&n(this).addClass(
-
/js/bundles/)&!t.input.is(
-
/js/bundles/&(f=i.end-i.start==0?0:(i.now-i.start)/(i.end-i.start));t.toShow[0].style[i.prop]=f*u[i.prop].value+u[i.prop].unit},duration:t.duration,easing:t.easing,complete:function(){t.autoHeight||t.toShow.css(
¿Qué demonios se supone que deben hacer ,!0):
y &
? No puedo imaginar que eso diría algo realmente malicioso para un servidor, a menos que se esté explotando algún error grave del servidor o la víctima no sea el servidor.
Parece que hay una gran variedad de entornos para estos bots, algunos de ellos son XP, algunos son Vista, otros son Windows 7. He visto IE7, 8 y 9, así como Chrome y Safari. Incluso vi un teléfono con funciones LG que decía que estaba ejecutando Windows NT 5.1 e IE8. Ninguno de ellos tiene ninguna URL de referencia, por lo que no puedo averiguar qué página vieron anteriormente en nuestro sitio.
( /js/bundles
es donde mantenemos nuestros activos agrupados, por cierto).
Mi pregunta es: ¿alguien sabe qué (servidores, navegadores, etc.) pretenden explotar estos ataques? Parece que son intentos de explotar XSS, pero no están muy bien formados. Sin embargo, ASP.NET parece estar atrapándolos, así que no estoy muy preocupado.
(Otra posibilidad es que son solo una araña realmente con errores haciendo sus cosas).