Solicitud extraña de URI con muchos + (espacios) y "apodo elegido"

Navega tus respuestas
14

Durante los últimos seis meses más o menos (después de publicar un artículo determinado) mi sitio ha sido molestado con una cantidad de URI de solicitudes que siguen este patrón:

/warning.php++++++++++++++++++++++++++++++++++Result:+chosen+nickname+%22doudounemonclerfemmez.webs.comoV%22;+success;

La dirección IP del solicitante y el apodo elegido entre comillas son diferentes en cada solicitud, de lo contrario, el patrón es el mismo.

La página solicitada (warning.php) es una página real en mi sitio que menciona un grupo de hackers específico (no "por cierto" por cierto) en términos no halagadores. El hecho de que esta página específica esté dirigida puede indicar que pueden estar irritados, o simplemente puede ser una coincidencia.

El grupo de hackers en cuestión es (IMHO) un grupo de criminales desagradables, pero también son bastante buenos en lo que hacen. Sin embargo, no veo esto como un ataque compentente. Para mí, se parece más a un script para niños que a algo que un verdadero hacker intentaría. Realmente no entiendo lo que se supone que rellenar una solicitud de página legítima con una gran cantidad de espacios y algún "apodo elegido" al azar. Para mí, no parece un ataque de inyección. Las solicitudes son persistentes, pero solo 40-60 por día, por lo que ni siquiera es una especie de ataque DoS.

He buscado en Google para este patrón, pero solo encontré esto: enlace - lo que sugiere que este es un trabajo de script-kiddie. Sin embargo, el hecho de que quien haga esto tenga a su disposición un gran número de direcciones IP apunta en la dirección opuesta. He descontado la teoría de multiple script-kiddies, ya que no conozco ningún "script" que tenga esta "cosa" como componente, y como todas las solicitudes son para la misma página específica.

Lo que me preocupa un poco es que 1) quien esté haciendo esto es persistente; 2) se dirige a una página específica en mi sitio.

Mis preguntas específicas aquí son:

  1. ¿Alguien puede ver lo que la persona que está haciendo esto está tratando de lograr?
  2. ¿Debería preocuparme?
pregunta Free Radical 07.01.2013 - 10:09
fuente

5 respuestas

16

Su reacción inicial es correcta: esta es una solicitud maliciosa. El ataque parece estar intentando aprovechar un error de omisión de autenticación en un complemento, pero no puedo encontrar cuál. El ataque parece haber sido razonablemente exitoso, ya que una gran cantidad de sitios que aparecen en Google ahora muestran spam farmacéutico. Me imagino que el atacante está usando una botnet o Tor para realizar los ataques.

En lo que respecta a la mitigación, simplemente bloquee las solicitudes con un firewall o WAF que admita el bloqueo basado en patrones. Si puede hacer un bloque de patrón de expresiones regulares, esto funcionará siempre que la sensibilidad a mayúsculas esté desactivada: 

^\/warning\.php\+*Result:\+chosen\+nickname\+.*success;$
    
respondido por el Polynomial 07.01.2013 - 10:21
fuente
1

Hay literalmente cientos de kits de "explotación" que buscan software vulnerable e intentan explotar los servidores que los alojan. Algunos de los kits de explotación más primitivos no confirmarán si un producto específico o una versión de software se está ejecutando antes de disparar la carga útil. En su caso, parece que este es el caso y, como usted dice que su sitio es estático, no debería tener nada de qué preocuparse en cuanto a la aplicación que está siendo explotada.

Sin embargo, bien hecho de estar atento, revise el registro de Whois para los dominios, puede valer la pena informarlos ya que el propietario puede no saber que ha sido víctima de un ataque.

    
respondido por el fixulate 07.01.2013 - 17:15
fuente
1

Uso el siguiente código en .htaccess: 

# Removes hacking attempts from url, such as: /RK=0/RS=AYp9kgWwyL1Te5LIMYeMtv4cBVQ-
RewriteRule ^(.*)RK= /$1 [L,NC,R=301]
# Removes author attempts from url, such as: /author
RewriteRule ^(.*)author /$1 [L,NC,R=301]
# Removes trackback attempts from url, such as: /trackback
RewriteRule ^(.*)trackback /$1 [L,NC,R=301]
# Removes hacking attempts from url, such as: +Result:+chosen+nickname+"acqqicny06";+success+(from+first+page);
RewriteRule ^(.*)\+Result:\+chosen /$1 [L,NC,R=301]
    
respondido por el ovtorne 22.05.2014 - 09:16
fuente
0

No es un ataque per se , es un intento de dejar una "firma de éxito" mediante el software de spam XRumer.

    
respondido por el kravietz 27.02.2014 - 16:50
fuente
0

En este momento, me encuentro con un ataque muy similar en nuestro sitio OpenWGA con un apodo diferente. Sin embargo, creo que es un intento de publicar comentarios de spam automatizados en algún tipo de software de blog / foro PHP

Busqué en Google los "datos adicionales" de la URI y encontré algunos intentos de CAPTCHA incorrectos (puede ser de corta duración) que tenía estos datos en su URL de referencia. Los datos de solicitud se registran allí. Extracto: 

[REQUEST_URI]     /forum_p/forum_p.php
[HTTP_REFERER]    http://www.vpi-sa.de/forum_p/forum_p.php?
                  msg=78+++++++++++++++++++Result:+chosen+nickname+%22Sareambimbkaw%22;+success;+Result:+chosen+nickname+%22teetlyHyday%22;+success;+Result:+chosen+nickname+%22infetEtig%22;+success;+Result:+chosen+nickname+%22AlbertOn%22;+success;
[HTTP_USER_AGENT] Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

El mensaje es un texto HTML no deseado para una tienda de venta en línea, que no quiero repetir aquí.

    
respondido por el Oliver Weise 15.05.2014 - 10:48
fuente

Lea otras preguntas en las etiquetas

¿Puede mi familia ver qué sitios visito mientras estoy en su wifi? ¿Qué malas prácticas de codificación hacen que una extensión del navegador sea vulnerable?