Mi cliente es quien está ejecutando una versión reciente de vBulletin que está obteniendo mucha actividad extraña y no puedo explicar lo que el atacante está tratando de lograr.
El atacante registra una cuenta de usuario falsa en el foro con datos personales claramente inventados. Entonces comenzamos a obtener cientos de visitas en la página de miembros de este usuario falso. Todos los accesos provienen de la misma dirección IP y el campo REFERER de la característica en el encabezado que parece ser redirigido doblemente a través de dos sitios web de terceros diferentes que tienen vulnerabilidades de redireccionamiento abiertas. (es decir, con una URL especialmente diseñada, generará un redireccionamiento a otro sitio)
Las entradas del registro httpd se parecen a esto. Estos han sido anónimos, pero entiendes la idea. www.cccccc.ccc es el sitio de mi cliente. openredirect.aaaa, openredirect.bbbb, etc. son varios sitios web en todo el mundo. Hay cientos de diferentes utilizados.
77.97.xxx.xxx - - [12/Dec/2014:09:18:11 -0500] "GET /forums/member.php?SomeUser HTTP/1.1" 200 8974
"http://www.openredirect.zzz/exit/?url=http://openredirect.yyyy/away.php?to=http://www.cccccc.ccccc/forums/member.php?u=SomeUser"
"Opera/9.80 (Windows NT 6.2; Win64; x64) Presto/2.12.388 Version/12.16"
77.97.xxx.xxx - - [12/Dec/2014:09:18:12 -0500] "GET /forums/member.php?u=SomeUser HTTP/1.1" 301 -
"http://www.openredirect.aaa/jsps//recommend.jsp?url=http://openredirect.bbbb/forum/visit.php?url=http://www.cccccc.cccc/forums/member.php?u=SomeUser"
"Opera/9.80 (Windows NT 6.2; Win64; x64) Presto/2.12.388 Version/12.16"
repita más de 100 veces en un corto intervalo, todos desde la misma IP de origen, todos a la misma página de perfil de miembro, pero con diferentes conjuntos de redirecciones en el campo REFERENCIA.
No hay nada de interés en la página de perfil del miembro que se solicita. Sólo algunos datos personales inventados. No hay un script incrustado, etc. He comprobado el código del foro y parece que no está haciendo nada con el campo de REFERENCIA que puedo ver (como intentar hacer un ping o algo).
Una cosa extraña que he notado es que algunas solicitudes tienen un código de resultado 200 y otras tienen un 301, pero no puedo entender cuál es la diferencia.
Hace unos días realicé una búsqueda exhaustiva de información sobre cualquier tipo de ataque como este, pero no encontré nada.
La principal amenaza para nuestro sitio es que todas las solicitudes llegan con bastante rapidez y, en ocasiones, sobrecargan nuestro servidor, lo que eventualmente provoca una denegación parcial del servicio. (pero puedo pensar en formas mucho más efectivas de causar DOS si ese era el objetivo final, así que no creo que lo sea). En este momento estamos jugando whack-a-mole, bloqueando una nueva dirección IP de origen cada pocos días.
Si bien se pueden usar varias técnicas para evitar que esto suceda y eventualmente encontraremos el mejor enfoque para bloquear esto, mi pregunta principal aquí es ¿qué está tratando de lograr el atacante?