Solicitudes http sospechosas en mis registros: * .html / RS = ^

1

Veo algunas solicitudes http extrañas (¿sospechosas?) en mi servidor web.

Ejemplo:

192.161.x.x - - [14/Mar/2014:21:55:36 -0300] "GET /ce/c02i.html/RS=^ADAD3F3nOTvuESWLtAiP39aTQZiSRQ- HTTP/1.0" 404 881 "http://example.com/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.110 Safari/537.36" "-"

El patrón común parece ser:

  • Se solicita una página html válida, pero con una cadena /RS=^ADA.... adjunta, lo que hace que la solicitud no sea válida.
  • La cadena que sigue a ADA .... (parece ser un hash) varía
  • El referente parece falso, siempre es el verdadero dominio (reemplazado aquí por 'example.com'), que en realidad no tiene enlaces a esas páginas html.
  • Las solicitudes provienen de diferentes IP (no relacionadas). Normalmente, esta es la única solicitud que proviene de esa IP.
  • El agente de usuario siempre es exactamente el mismo que el de arriba, supongo que es falso.

La única mención no fue muy informativa. ¿Es esto un intento de explotación conocido?

    
pregunta leonbloy 17.03.2014 - 20:26
fuente

1 respuesta

2

Es un ataque automovilístico contra algunos CMS oscuros, y parece que tu sitio no ejecuta ese CMS, por lo que no me preocuparía. Algunos robots simplemente están rastreando la red y buscan ciegamente páginas que podrían explotarse. Esta es la razón por la que la búsqueda en Google mencionada en el enlace que proporcionaste apunta a tantas páginas de correo no deseado / spam.

    
respondido por el Polynomial 17.03.2014 - 23:42
fuente

Lea otras preguntas en las etiquetas