¿Cuál fue el objetivo de esta solicitud HTTP no válida que cuenta una historia sobre las cabras en el URI de la solicitud?

Navega tus respuestas
70

Actualmente ejecuto un servidor HTTP Apache y he configurado la supervisión para recibir correos electrónicos cada vez que aparece un error en los registros de errores. Me sale lo habitual tratando de encontrar si estoy usando HTTP 1.0 y tratando de ver si estoy usando un software comercial, como WordPress, que pueda ser explotado.

Durante el fin de semana, vi una nueva entrada en mis registros de errores y me preguntaba qué intentaba hacer el posible explotador (Abcdef es, supongo que los explotadores lo manejan (he cambiado)): 

:[DATE] [error] [client XXX.XXX.XXX.XXX] Invalid URI in request HEAD towards the green fields outside. Watch the goats chewing the grass. What is the meaning of life? Life isn't about getting to the end. Goats know this. You should know too. Goats are wise. Goats are cute. Listen to them! This is the message. Love goats, love the Internet! \xf0\x9f\x90\x90 Abcdef. HTTP/1.0

Ahora, aparte de obviamente contarme sobre su amor por las cabras, ¿puede alguien determinar cuál fue el objetivo de esta solicitud? Intenté buscar parte de la cadena en Google ... ¡y acabé con resultados sobre cabras!

Supongo que la idea era proporcionar un URI que causaría un desbordamiento que resultara en algo con el Unicode al final, pero no estoy seguro.

NOTA Supongo que la solicitud no tenía muchos medios debido a los caracteres que se encuentran al final de la solicitud, por lo que se publica en Seguridad en lugar de Error del servidor.

    
pregunta Crazy Dino 08.02.2016 - 14:02
fuente

3 respuestas

54

No sé en qué consistía la parte REDACTED , pero puedo decirle que los bytes \xf0\x9f\x90\x90 corresponden a una imagen de una cabra en UTF-8 :

Aquí está:

respondido por el squeamish ossifrage 08.02.2016 - 14:18
fuente
34

Esto se parece a la poesía que se estaba enviando en el Congreso de Comunicaciones del Caos en Hamburgo. En particular, comienza a usar la CABEZA como parte de la poesía (el siguiente ejemplo usa BORRAR para comenzar la línea).

enlace

    
respondido por el nyxgeek 08.02.2016 - 17:03
fuente
4

Encontré la misma solicitud en mi access.log con esta url:

enlace

  

¿Qué es esto?

     

Inspirado por # masspoem4u, trato de repetir lo que hicieron: distribuir una solicitud HTTP única a todas las direcciones IPv4 en todo el mundo.

     

¿Cómo hiciste esto?

     

Uso una versión ligeramente modificada del masscan de Robert Graham, tal como lo hicieron los chicos de masspoem4u en CCC. Sin embargo, no tengo una red tan rápida como la de ellos, por lo que mi análisis tomará aproximadamente una semana. Puedes encontrar un interesante artículo de masscan aquí.

     

¿Hace algún daño?

     

Por supuesto que no. Es totalmente inofensivo. Lo único que debe percibir es el mensaje en su registro HTTP. Dado que una IP recibe solo una solicitud, y el orden de las sondas es aleatorio, no drena sus recursos y no sobrecarga su red.

No noté nada más inusual, excepto una solicitud de otra dirección IP que contiene otros bytes UTF-8, pero puede que no esté relacionado.

[XXX.XXX.XXX.XXX] - - [DATE] "\xad\x17\x15\xd2\xf0\xa2y\xec\xc9\xe6\xe2\xe2\xd1\"\xb1\"\x88\x82Ojo\xb8Q\xa0r\xd5\xfe\xe5E\x9a\x01\xfcf\x18\xff\x9d\x05\x1dh\xa1\xc61\xea;\x04F\x8b\xb1SgEhGk\x86&\x93b<O" 200 11899 "-" "-"

    
respondido por el Superslinky 15.02.2016 - 10:48
fuente

Lea otras preguntas en las etiquetas

El usuario no puede navegar a la página web a través de la IU debido a los permisos, pero puede navegar a la página pegando la URL. ¿Cómo me protejo contra esto? ¿Qué curva elíptica debo usar?