¿Solicitudes HTTP extrañas a VPS, el antiguo servidor de comando y control de malware?

1

Acabo de comprar un nuevo VPS con Linode. Instalé Apache y noté un comportamiento muy extraño que he estado viendo constantemente en todos los registros. Básicamente, continúo recibiendo solicitudes HTTP POST extrañas al índice / de direcciones IP del Medio Oriente (Afganistán, Irán, Arabia Saudita y algunos países asiáticos insignificantes). El acccess_log muestra que cada pocos minutos recibiré una ráfaga de HTTP POST de una dirección IP, como

180.94.91.236 - - [26/Jul/2016:04:54:43 +0000] "POST / HTTP/1.1" 200 147 "-" "-"
180.94.91.236 - - [26/Jul/2016:04:54:44 +0000] "POST / HTTP/1.1" 200 147 "-" "-"
180.94.91.236 - - [26/Jul/2016:04:54:45 +0000] "POST / HTTP/1.1" 200 147 "-" "-"
180.94.91.236 - - [26/Jul/2016:04:54:45 +0000] "POST / HTTP/1.1" 200 147 "-" "-"
180.94.91.236 - - [26/Jul/2016:04:54:46 +0000] "POST / HTTP/1.1" 200 147 "-" "-"
180.94.91.236 - - [26/Jul/2016:04:54:47 +0000] "POST / HTTP/1.1" 200 147 "-" "-"
180.94.91.236 - - [26/Jul/2016:04:54:47 +0000] "POST / HTTP/1.1" 200 147 "-" "-"

Tenía mucha curiosidad por lo que me estaban enviando estos servidores, así que pensé en hacer un script PHP que registrara los datos enviados en estas solicitudes. Lo que descubrí es que no había datos contenidos dentro de la solicitud POST. Los únicos datos presentes fueron una única cookie, que contenía un nombre de cookie (una letra mayúscula aleatoria) pero no datos.

Entonces, por ejemplo, en la solicitud habrá una cookie llamada M por ejemplo, y no habrá nada en ella. La siguiente cookie sería una letra mayúscula ASCII mayúscula diferente.

Entonces, esto es realmente extraño, realmente me interesa lo que es esto. Algunas de las direcciones IP parecen pertenecer a los gobiernos, mientras que otras no. No sé qué hacer con esto, no creo que sea ningún tipo de escáner ya que no parece que estén probando nada. Simplemente no lo entiendo, ¿alguien tiene alguna idea de lo que podría ser?

    
pregunta Viperidae 26.07.2016 - 07:04
fuente

0 respuestas

Lea otras preguntas en las etiquetas