Indexación de URLs sobre protocolos de IM

Question

Indexación de URLs sobre protocolos de IM

#1 de David (1 votos)
#2 de Drew Barfield (0 votos)

2

Recientemente, escanee un documento físico en busca de un amigo, lo puse en mi servidor web para que él pudiera descargarlo y le envié la URL a través de la red de chat de MSN. Volví a eliminar el archivo poco después, pero aproximadamente una hora después, obtuve la siguiente solicitud HTTP para la misma URL:

65.52.100.214 - - [15/Apr/2014:03:58:48 +0200] "HEAD /~fredrik/tmp/fskatt.pdf HTTP/1.1" - - "-" "-"

65.52.100.214 no soy ni yo ni mi amigo, pero de hecho está registrado en "Microsoft Corporation", si whois es algo por lo que pasar. Tenga en cuenta que es una solicitud HEAD , por lo que Microsoft nunca recuperó el contenido real.

Aproximadamente una semana después, comencé a recibir varias solicitudes por día a la misma URL desde varias direcciones IP con un agente de usuario extraño de toda la red. Aquí hay algunos de ellos:

74.217.148.74 - - [22/Apr/2014:22:36:14 +0200] "GET /~fredrik/tmp/fskatt.pdf HTTP/1.1" - - "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; GTB6.6; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ;  Embedded Web Browser from: http://bsalsa.com/; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30; msn OptimizedIE8;ESES)"
64.124.203.74 - - [22/Apr/2014:22:52:51 +0200] "GET /~fredrik/tmp/fskatt.pdf HTTP/1.1" - - "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/4.0; GTB6.4; SIMBAR={DBAB9A86-8527-4206-A26B-A5C3AFEEFC8D}; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; eSobiSubscriber 2.0.4.16; .NET4.0C; Windows Live Messenger 14.0.8117.0416)"
64.124.203.71 - - [30/Apr/2014:23:26:39 +0200] "GET /~fredrik/tmp/fskatt.pdf HTTP/1.1" - - "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/4.0; chromeframe/11.0.696.57; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.2; SLCC1; OfficeLiveConnector.1.5; OfficeLivePatch.1.3; Tablet PC 2.0; .NET4.0C)"
208.50.101.158 - - [03/May/2014:01:10:28 +0200] "GET /~fredrik/tmp/fskatt.pdf HTTP/1.1" - - "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; GTB6.6; SLCC1; .NET CLR 2.0.50727; .NET CLR 3.0.04506; ibrytetoolbar_playbryte; ShopperReports 3.1.69.0; SRS_IT_E8790771BC76555133AA96; OfficeLiveConnector.1.3; OfficeLivePatch.0.0)"

(La lista completa se puede ver aquí .)

Tenga en cuenta que esta URL tiene 404: ed desde ese día. Sin embargo, no estoy seguro de si el archivo se eliminó cuando se realizó la primera solicitud de Microsoft el 15 de abril.

Ni yo ni mi amigo usamos la URL a sabiendas en ningún otro lugar. ¿Esto significa que Microsoft está explorando chats de MSN en busca de direcciones URL y, a veces, se "rellena" con ellos? ¿Qué está pasando en este siguiente aluvión de peticiones? ¿O hay alguna otra explicación? ¿Se conoce y documenta este comportamiento en algún lugar?

Por supuesto, también he compartido muchas otras URL privadas a través de MSN, sin detectar que se hayan escaneado.

privacy

pregunta Dolda2000 03.05.2014 - 01:36

fuente

2 respuestas

Lea otras preguntas en las etiquetas privacy

Detección de malware JS encfs y contraseñas

score 1 · Answer 1

De hecho, Microsoft escanea las URL en los mensajes para ver si se trata de enlaces de "spam, fraude o phishing". Afirman que esta es la única razón por la que los usan.

No estoy seguro de que las otras solicitudes de UA extraños sean también de Microsoft, pero es una apuesta justa, a menos que estén filtrando las URL en algún lugar. Dado el "OfficeLive" en algunos de los agentes de usuario, supongo que son Microsoft, pero por supuesto, es trivial enviar lo que quieras como encabezado de Usuario-Agente.

Ver:

score 0 · Answer 2

Aquí está la secuencia de comandos de PowerShell que solía iterar sobre las IP:

$IPCollection = "74.217.148.74,64.124.203.74,74.217.148.73,208.50.101.157,208.50.101.156,208.50.101.155,208.50.101.154,74.217.148.78,64.124.203.74,208.50.101.157,208.50.101.155,74.217.148.76,64.124.203.71,64.124.203.76,64.124.203.76,64.124.203.73,74.217.148.75,64.124.203.74,64.124.203.73,208.50.101.153,208.50.101.158,74.217.148.72,208.50.101.155,74.217.148.71,64.124.203.75,74.217.148.76,208.50.101.152,74.217.148.71,208.50.101.152,74.217.148.72,64.124.203.76,74.217.148.73,74.217.148.75,208.50.101.157,74.217.148.75,64.124.203.71,208.50.101.152,208.50.101.151,64.124.203.76,208.50.101.157,74.217.148.75,74.217.148.76,64.124.203.74,74.217.148.71,74.217.148.78,74.217.148.77,74.217.148.76,64.124.203.78,64.124.203.77,64.124.203.74,64.124.203.71,74.217.148.71,74.217.148.72,64.124.203.72,74.217.148.72,64.124.203.74,74.217.148.76,208.50.101.158,64.124.203.72,74.217.148.74,74.217.148.76,208.50.101.158,64.124.203.71,74.217.148.74,64.124.203.74,74.217.148.73,74.217.148.76,64.124.203.75,208.50.101.154,208.50.101.154,208.50.101.154,64.124.203.77,64.124.203.76,64.124.203.71,64.124.203.74,208.50.101.151,64.124.203.72,64.124.203.77,74.217.148.76,64.124.203.71,74.217.148.71,208.50.101.151,64.124.203.78,74.217.148.78,64.124.203.78,208.50.101.151,208.50.101.158,74.217.148.76,74.217.148.76,64.124.203.77,74.217.148.76,208.50.101.155,208.50.101.155,64.124.203.77,64.124.203.73,64.124.203.72,64.124.203.77,74.217.148.77,208.50.101.152,74.217.148.74,64.124.203.72,74.217.148.78,64.124.203.73,74.217.148.71,64.124.203.74,64.124.203.72,64.124.203.75,74.217.148.71,74.217.148.73,74.217.148.71,208.50.101.158,208.50.101.158,74.217.148.76,74.217.148.71,64.124.203.77,74.217.148.78,208.50.101.151,64.124.203.78,208.50.101.158,208.50.101.158,208.50.101.156,64.124.203.75,74.217.148.75,208.50.101.156,208.50.101.158,64.124.203.72,64.124.203.72,74.217.148.78,74.217.148.73,64.124.203.72,64.124.203.74,64.124.203.78,208.50.101.153,74.217.148.78,64.124.203.76,208.50.101.157,64.124.203.72,208.50.101.156,208.50.101.153,208.50.101.158,74.217.148.78,64.124.203.78,64.124.203.76,208.50.101.156,74.217.148.72,64.124.203.75,74.217.148.77,64.124.203.77,74.217.148.75,64.124.203.75,208.50.101.156,208.50.101.154,64.124.203.71,74.217.148.74,208.50.101.155,74.217.148.72,64.124.203.72,208.50.101.157,64.124.203.75,64.124.203.74,208.50.101.151,64.124.203.76,64.124.203.71,64.124.203.76,64.124.203.73,64.124.203.71,208.50.101.158,208.50.101.158,74.217.148.74,64.124.203.72,208.50.101.151,64.124.203.75,64.124.203.76,208.50.101.158,74.217.148.72,64.124.203.75,64.124.203.74,208.50.101.153,208.50.101.151,74.217.148.78,64.124.203.76,208.50.101.157,64.124.203.73,64.124.203.76,208.50.101.153,74.217.148.76,74.217.148.78,64.124.203.76,208.50.101.158";
$IPCollection = $IPCollection.Split(",");
foreach ($ip in $IPCollection) {
    [System.Net.Dns]::gethostentry($ip);
}

Devuelve la siguiente lista de nombres de host:

64.124.203.74.available.above.net
64.124.203.74.available.above.net
64.124.203.71.available.above.net
64.124.203.76.available.above.net
64.124.203.76.available.above.net
64.124.203.73.available.above.net
64.124.203.74.available.above.net
64.124.203.73.available.above.net
64.124.203.75.available.above.net
64.124.203.76.available.above.net
64.124.203.71.available.above.net
64.124.203.76.available.above.net
64.124.203.74.available.above.net
64.124.203.78.available.above.net
64.124.203.77.available.above.net
64.124.203.74.available.above.net
64.124.203.71.available.above.net
64.124.203.72.available.above.net
64.124.203.74.available.above.net
64.124.203.72.available.above.net
64.124.203.71.available.above.net
64.124.203.74.available.above.net
64.124.203.75.available.above.net
64.124.203.77.available.above.net
64.124.203.76.available.above.net
64.124.203.71.available.above.net
64.124.203.74.available.above.net
64.124.203.72.available.above.net
64.124.203.77.available.above.net
64.124.203.71.available.above.net
64.124.203.78.available.above.net
64.124.203.78.available.above.net
64.124.203.77.available.above.net
64.124.203.77.available.above.net
64.124.203.73.available.above.net
64.124.203.72.available.above.net
64.124.203.77.available.above.net
64.124.203.72.available.above.net
64.124.203.73.available.above.net
64.124.203.74.available.above.net
64.124.203.72.available.above.net
64.124.203.75.available.above.net
64.124.203.77.available.above.net
64.124.203.78.available.above.net
64.124.203.75.available.above.net
64.124.203.72.available.above.net
64.124.203.72.available.above.net
64.124.203.72.available.above.net
64.124.203.74.available.above.net
64.124.203.78.available.above.net
64.124.203.76.available.above.net
64.124.203.72.available.above.net
64.124.203.78.available.above.net
64.124.203.76.available.above.net
64.124.203.75.available.above.net
64.124.203.77.available.above.net
64.124.203.75.available.above.net
64.124.203.71.available.above.net
64.124.203.72.available.above.net
64.124.203.75.available.above.net
64.124.203.74.available.above.net
64.124.203.76.available.above.net
64.124.203.71.available.above.net
64.124.203.76.available.above.net
64.124.203.73.available.above.net
64.124.203.71.available.above.net
64.124.203.72.available.above.net
64.124.203.75.available.above.net
64.124.203.76.available.above.net
64.124.203.75.available.above.net
64.124.203.74.available.above.net
64.124.203.76.available.above.net
64.124.203.73.available.above.net
64.124.203.76.available.above.net
64.124.203.76.available.above.net

Interesante ... (no, no realmente)

Es broma, Microsoft quiere tu alma.