Miles de 404s de varios motores de búsqueda

Question

Miles de 404s de varios motores de búsqueda

#1 de Question Overflow (4 votos)

0

Desde principios de abril de 2015, mi sitio web ha estado recibiendo miles de solicitudes de muchos motores de búsqueda de URL que no existen y nunca han existido.

Encontré una similar, pero menos detallada, pregunta de stackexchange . Esa pregunta tiene Google, Bing, Yahoo, Yandex y "algún lugar en el Reino Unido", tal como lo señalo en mi descripción a continuación.

Entonces, mi pregunta es, ¿cómo alguien consigue al menos 5 motores de búsqueda para comenzar a pedir a un sitio una pila de las mismas URL de una sola vez?

Por lo que puedo decir, el número máximo de solicitudes por segundo es 16, para 2015-06-11T18: 51: 11-0600, 8 solicitudes cada una desde 207.46.13.99 y 207.46.13.106. Ambos están en un netblock de Microsoft y se identificaron como "bingbot". Entiendo que los motores de búsqueda más reputados se aceleran a sí mismos, pero 16 por segundo no es demasiado acelerado.

Solo para evitar algunas respuestas probables, mi sitio no tiene y nunca ha tenido archivos que coincidan con estas URL. Por lo que puedo decir, nadie ha intentado mover archivos con estos nombres a mi sitio. Ni los archivos httpd.conf ni .htaccess tienen reglas mod_rewrite que proporcionan 301 o 302 respuestas HTTP para estas URL. Mi sitio no tiene archivos PHP extraños que puedan redirigir o redireccionar estas URL desde otro lugar.

Todas las URL son por nombre de dominio (example.com), no por dirección IP. Que yo sepa, soy el único que ha usado ese nombre de dominio. Del mismo modo, la dirección IP para example.com se ha mantenido sin cambios durante algunos años. Tengo access_log de archivos desde el 11 de febrero de 2009, y este tipo de URL no aparece hasta el 9 de abril de 2015.

También, hasta el 2015-08-22, tuve mi 404.php configurado para redirigir a "shock porn" para cualquiera de los componentes de URL que se enumeran a continuación. No consideré que nadie fuera lo suficientemente exhaustivo como para probar esas URL. Me disculpo humildemente por no creer que las personas son sinceras y completas. Desde mobody pero search engies y spiders busca esas URL (en mi sitio), he eliminado esa función.

Debo añadir que estoy ejecutando un pot de miel WordPerfect, para recopilar las contraseñas utilizadas por los brutadores de WP y para recolectar malware PHP. Realmente no estoy ejecutando WordPerfect en absoluto. Si solicita una URL con wp-login.php, obtendrá un inicio de sesión WP simulado.

Puedes ver mi escrito aquí , pero esa era una olla de miel anterior. Lo he reescrito totalmente.

Una de mis teorías fue que las solicitudes de URL de pornografía son una especie de intento DDOS por parte de los spammers / piratas informáticos que quedaron atrapados en mi bote de miel y realmente se dieron cuenta.

Aquí están los detalles:

Motores de búsqueda que solicitan URL inexistentes, basadas en cadenas de agente de usuario:

Google
Bing
Majestic12 (?)
Yandex
Baidu
Yahoo
Yahoo Japón ("Y! J")
Sogou web spider
Yisou

He configurado Apache httpd para que la página 404 sea un script PHP que registra todos los valores de $_SERVER , $_REQUEST , $_COOKIE y $_FILE , así que estoy bastante seguro de las cadenas de agente de usuario, Direcciones IP, etc., y que el servidor encuentra que las URL en cuestión no existen. He hecho una doble comprobación de algunas direcciones IP. Las direcciones que verifiqué coincidían con las cadenas de agente de usuario.

Mi servidor contiene hasta 6000 solicitudes por día para lo que parece ser porno indio o indonesio. Algunas URL de ejemplo:

/egblzsd/foto-bugil-cewek-indonesia-dunia-panas.html
/egblzsd/WWW-Hiroin-Alia-Bhat-Hot-Sexy-Nude-phato-in.html
/xvlgorj/mallu-anty-faking-images.html

Hay muchos otros. Si busco "foto-bugil-cewek-indonesia-dunia-panas.html", veo algunas fotos semi-escandalosas, pero muchos de los "nombres de archivo", si se buscan en Google, llevan a 404 páginas en otra parte.

Cada URL incluye un componente como este:

/zyjos/
/jhkbla/
/fakfxs/
/egblzsd/
/xvlgorj/
/vkbjnid/
/phxyy/
/lfgkvol/
/vnkdax/
/sxzocl/
/zfkdoh/
/brungh/
/bumlefz/
/tyndst/

Todas esas cadenas muestran muchos resultados de búsqueda en Google, en su mayoría sitios de pornografía indonesios, u otros sitios de Hinky. Siguiendo los enlaces, obtengo un montón de 404.

attacks url webserver

pregunta Bruce Ediger 22.08.2015 - 00:58

fuente

1 respuesta

Lea otras preguntas en las etiquetas attacks url webserver

PGP en Dark Net Markets: ¿Qué amenazas controla? formato de certificado

score 4 · Answer 1

Su sitio web ha sido comprometido.

Cualquier solicitud que incluya un componente de URL listado por usted conduce a un 301 redireccionamiento permanente a un sitio porno aleatorio que publica anuncios.

GET /phxyy/whatever HTTP/1.1
Host: stratigery.com
Accept: */*


HTTP/1.1 301 Moved Permanently
Date: Sat, 22 Aug 2015 02:17:04 GMT
Server: Apache/2.4.16 (Unix) PHP/5.6.12
X-Powered-By: PHP/5.6.12
Location: http://www.somepornsite.massorgy/
Content-Length: 0
Content-Type: text/html; charset=UTF-8

Debe tenerse en cuenta que la redirección la realiza su servidor, lo que solo puede significar que su servidor (no la servidor de nombres autorizado ) está comprometido.

Lo que debes hacer:

Quite su sitio web e investigue las siguientes ubicaciones para detectar signos de código ofuscado:

/index.php
/wp-config.php (if using WordPRess)
/configuration.php (if using Joomla)
/wp-content/themes/yourtheme/functions.php (if using WordPress)

Si no tiene lo anterior, busque archivos que contengan largas líneas de código. Ya que está usando Linux, puede intentar lo siguiente:

$ grep -rl --exclude-dir={image_folder} ".\{1000\}" /var/www

También, para buscar código confuso en otra parte, intente esto:

$ grep -rE --exclude-dir={image_folder} "eval|GLOBALS|error_reporting|chr\(|\\x?[0-9]{2}\\" /var/www

Aunque ha mencionado que ha revisado los archivos de configuración de su servidor, le recomiendo que lo haga nuevamente.

Después de confirmar la causa, el siguiente paso es volver a instalar su servidor con las últimas actualizaciones de seguridad y la fecha de la última copia de seguridad válida conocida para eliminar cualquier posibilidad de puertas traseras sin descubrir.