Durante los últimos seis meses más o menos (después de publicar un artículo determinado) mi sitio ha sido molestado con una cantidad de URI de solicitudes que siguen este patrón:
/warning.php++++++++++++++++++++++++++++++++++Result:+chosen+nickname+%22doudounemonclerfemmez.webs.comoV%22;+success;
La dirección IP del solicitante y el apodo elegido entre comillas son diferentes en cada solicitud, de lo contrario, el patrón es el mismo.
La página solicitada (warning.php) es una página real en mi sitio que menciona un grupo de hackers específico (no "por cierto" por cierto) en términos no halagadores. El hecho de que esta página específica esté dirigida puede indicar que pueden estar irritados, o simplemente puede ser una coincidencia.
El grupo de hackers en cuestión es (IMHO) un grupo de criminales desagradables, pero también son bastante buenos en lo que hacen. Sin embargo, no veo esto como un ataque compentente. Para mí, se parece más a un script para niños que a algo que un verdadero hacker intentaría. Realmente no entiendo lo que se supone que rellenar una solicitud de página legítima con una gran cantidad de espacios y algún "apodo elegido" al azar. Para mí, no parece un ataque de inyección. Las solicitudes son persistentes, pero solo 40-60 por día, por lo que ni siquiera es una especie de ataque DoS.
He buscado en Google para este patrón, pero solo encontré esto: enlace - lo que sugiere que este es un trabajo de script-kiddie. Sin embargo, el hecho de que quien haga esto tenga a su disposición un gran número de direcciones IP apunta en la dirección opuesta. He descontado la teoría de multiple script-kiddies, ya que no conozco ningún "script" que tenga esta "cosa" como componente, y como todas las solicitudes son para la misma página específica.
Lo que me preocupa un poco es que 1) quien esté haciendo esto es persistente; 2) se dirige a una página específica en mi sitio.
Mis preguntas específicas aquí son:
- ¿Alguien puede ver lo que la persona que está haciendo esto está tratando de lograr?
- ¿Debería preocuparme?