¿Qué intentan hacer estas solicitudes de API desconocidas?

Question

¿Qué intentan hacer estas solicitudes de API desconocidas?

#1 de dandavis (1 votos)
#2 de J.A.K. (0 votos)

1

Estoy desarrollando API para que mi aplicación de front-end para dispositivos móviles las consuma, y la hospedo en mi servidor de AWS, que es de acceso público. Dejo la API del entorno de desarrollo por un día. Hoy noté algunas solicitudes desconocidas, pero ¿qué intentan hacer?

morgan registró todas estas solicitudes

::ffff:95.25.125.123 - - [20/Mar/2017:16:07:06 +0000] "GET http://t9.proxy-checks.com/favicon.ico HTTP/1.1" 404 39 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.5.21022; .NET CLR 3.5.30729; .NET CLR 3.0.30618)"
::ffff:95.25.125.123 - - [20/Mar/2017:16:07:06 +0000] "POST http://t9.proxy-checks.com/favicon.ico HTTP/1.1" 404 39 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.5.21022; .NET CLR 3.5.30729; .NET CLR 3.0.30618)"
::ffff:95.25.125.123 - - [20/Mar/2017:16:07:06 +0000] "GET http://46.148.21.14/favicon.ico HTTP/1.1" 404 39 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.5.21022; .NET CLR 3.5.30729; .NET CLR 3.0.30618)"
::ffff:95.25.125.123 - - [20/Mar/2017:16:07:09 +0000] "POST http://t19.proxy-checks.com/favicon.ico HTTP/1.1" 404 39 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.5.21022; .NET CLR 3.5.30729; .NET CLR 3.0.30618)"
::ffff:95.25.125.123 - - [20/Mar/2017:16:08:46 +0000] "GET http://t5.proxy-checks.com/favicon.ico HTTP/1.1" 404 39 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.5.21022; .NET CLR 3.5.30729; .NET CLR 3.0.30618)"
::ffff:95.25.125.123 - - [20/Mar/2017:16:08:46 +0000] "POST http://t5.proxy-checks.com/favicon.ico HTTP/1.1" 404 39 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.5.21022; .NET CLR 3.5.30729; .NET CLR 3.0.30618)"
::ffff:95.25.125.123 - - [20/Mar/2017:16:08:46 +0000] "GET http://46.38.62.196/favicon.ico HTTP/1.1" 404 39 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.5.21022; .NET CLR 3.5.30729; .NET CLR 3.0.30618)"
::ffff:95.25.125.123 - - [20/Mar/2017:16:08:52 +0000] "POST http://t1.proxy-checks.com/favicon.ico HTTP/1.1" 404 39 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.5.21022; .NET CLR 3.5.30729; .NET CLR 3.0.30618)"
::ffff:58.182.10.224 - - [20/Mar/2017:16:10:03 +0000] "GET /category/en HTTP/1.1" 200 406713 "-" "SmartPad/1.0 (me.caoyang.SmartPad; build:1; iOS 9.3.5) Alamofire/4.4.0"
::ffff:185.25.148.240 - - [20/Mar/2017:16:40:48 +0000] "GET http://testp3.pospr.waw.pl/testproxy.php HTTP/1.1" 404 39 "-" "Mozilla/5.0 (Windows NT 5.1; rv:32.0) Gecko/20100101 Firefox/31.0"
::ffff:191.96.249.97 - - [20/Mar/2017:17:44:40 +0000] "GET /setup.cgi HTTP/1.1" 404 39 "-" "-"
::ffff:212.47.227.163 - - [20/Mar/2017:17:54:08 +0000] "GET http://www.bing.com HTTP/1.1" 200 44 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.1"
::ffff:163.172.168.251 - - [20/Mar/2017:21:20:31 +0000] "GET http://www.bing.com HTTP/1.1" 200 44 "-" "Chrome/41.0.2228.0 Safari/537.36"
::ffff:163.172.168.251 - - [21/Mar/2017:03:13:36 +0000] "GET http://www.bing.com HTTP/1.1" 200 44 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.1"
::ffff:95.25.125.123 - - [21/Mar/2017:04:15:26 +0000] "GET http://t6.proxy-checks.com/favicon.ico HTTP/1.1" 404 39 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.5.21022; .NET CLR 3.5.30729; .NET CLR 3.0.30618)"
::ffff:95.25.125.123 - - [21/Mar/2017:04:15:26 +0000] "POST http://t6.proxy-checks.com/favicon.ico HTTP/1.1" 404 39 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.5.21022; .NET CLR 3.5.30729; .NET CLR 3.0.30618)"
::ffff:95.25.125.123 - - [21/Mar/2017:04:15:26 +0000] "GET http://158.58.168.237/favicon.ico HTTP/1.1" 404 39 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.5.21022; .NET CLR 3.5.30729; .NET CLR 3.0.30618)"
::ffff:95.25.125.123 - - [21/Mar/2017:04:15:29 +0000] "POST http://t11.proxy-checks.com/favicon.ico HTTP/1.1" 404 39 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.5.21022; .NET CLR 3.5.30729; .NET CLR 3.0.30618)"
::ffff:95.25.125.123 - - [21/Mar/2017:04:16:12 +0000] "GET http://t8.proxy-checks.com/favicon.ico HTTP/1.1" 404 39 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.5.21022; .NET CLR 3.5.30729; .NET CLR 3.0.30618)"
::ffff:95.25.125.123 - - [21/Mar/2017:04:16:12 +0000] "POST http://t8.proxy-checks.com/favicon.ico HTTP/1.1" 404 39 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.5.21022; .NET CLR 3.5.30729; .NET CLR 3.0.30618)"
::ffff:95.25.125.123 - - [21/Mar/2017:04:16:15 +0000] "GET http://37.235.53.161/favicon.ico HTTP/1.1" 404 39 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.5.21022; .NET CLR 3.5.30729; .NET CLR 3.0.30618)"
::ffff:95.25.125.123 - - [21/Mar/2017:04:16:31 +0000] "POST http://t15.proxy-checks.com/favicon.ico HTTP/1.1" 404 39 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.5.21022; .NET CLR 3.5.30729; .NET CLR 3.0.30618)"
::ffff:198.55.103.208 - - [21/Mar/2017:04:55:15 +0000] "GET /manager/html HTTP/1.1" 404 39 "-" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2; WOW64; Trident/6.0)"
::ffff:91.196.50.33 - - [21/Mar/2017:05:05:19 +0000] "GET http://testp3.pospr.waw.pl/testproxy.php HTTP/1.1" 404 39 "-" "Mozilla/5.0 (Windows NT 5.1; rv:32.0) Gecko/20100101 Firefox/31.0"
::ffff:93.174.93.136 - - [21/Mar/2017:07:00:14 +0000] "GET http://www.baidu.com/cache/global/img/gs.gif HTTP/1.1" 404 39 "-" "Mozilla                                   "
::ffff:191.96.249.97 - - [21/Mar/2017:07:16:18 +0000] "GET /setup.cgi HTTP/1.1" 404 39 "-" "-"
::ffff:191.96.249.97 - - [21/Mar/2017:10:22:06 +0000] "GET /setup.cgi HTTP/1.1" 404 39 "-" "-"
::ffff:202.168.151.162 - - [21/Mar/2017:14:26:36 +0000] "GET //script HTTP/1.1" 404 39 "-" "python-requests/2.7.0 CPython/2.7.9 Windows/2003Server"
::ffff:47.203.88.36 - - [21/Mar/2017:14:39:44 +0000] "GET http://httpheader.net/ HTTP/1.1" 200 44 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.2.28) Gecko/20120306 Firefox/3.6.28 (.NET CLR 3.5.30729)"
::ffff:191.96.249.97 - - [21/Mar/2017:15:43:53 +0000] "GET /setup.cgi HTTP/1.1" 404 39 "-" "-"
::ffff:139.162.79.87 - - [21/Mar/2017:15:50:27 +0000] "GET / HTTP/1.1" 200 44 "-" "Mozilla/5.0"
::ffff:58.182.10.224 - - [21/Mar/2017:16:05:24 +0000] "GET /category/en HTTP/1.1" 200 406713 "-" "SmartPad/1.0 (me.caoyang.SmartPad; build:1; iOS 9.3.5) Alamofire/4.4.0"
::ffff:58.182.10.224 - - [21/Mar/2017:16:05:46 +0000] "GET /table HTTP/1.1" 200 515 "-" "SmartPad/1.0 (me.caoyang.SmartPad; build:1; iOS 9.3.5) Alamofire/4.4.0"

network http api

pregunta Timeless 21.03.2017 - 17:32

fuente

2 respuestas

Lea otras preguntas en las etiquetas network http api

No se puede forzar HTTPS cuando se conecta al servidor proxy, aunque el puerto 443 está abierto ¿Cómo puedo aislar ejecutables sospechosos sin borrarlos?

score 1 · Answer 1

Cualquier cosa que aún diga ser MSIE 7.0 es un sniffer drive-by, en busca de paneles de administración abiertos y dispositivos defectuosos conocidos. Estos son básicamente evitables y relativamente inofensivos. Cualquier registro web tiene muchas entradas de hackers rumanos, investigadores de infosec que usan massscan, etc. Nada personal, molestan a todos. Puede ser desconcertante al principio, pero es perfectamente normal y es un buen recordatorio para mantenerse al día con las actualizaciones.

score 0 · Answer 2

No sé exactamente qué es, el dominio está caído y los motores de búsqueda devuelven muy poca información. Pero estoy seguro de que no se ha hecho ningún daño; el dominio está caído y no hay máquina para recibir la llamada. He hecho un escaneo de puerto sin ping para ver si había algo escuchando pero siendo sigiloso, pero realmente parece que no hay nada allí. Sugeriría usar un buen editor de texto para buscar el dominio proxy-checks.com en su código.