Muchos éxitos de bot, el referente parece ser la variable

Question

Muchos éxitos de bot, el referente parece ser la variable

#1 de Lucas Kauffman (2 votos)

0

Recientemente (en los últimos 15 minutos) he tenido algunos accesos de la misma IP, está en un país de nuestra lista negra, así que subieron en nuestra página de "Acceso denegado", pero solo estaba interesado en qué beneficio podría obtener un bot / atacante con esto.

Todo lo que parece cambiar es el referente, ¿Alguien ha visto un comportamiento similar?

62.245.46.204 - - [02/Dec/2013:15:06:10 +0000] "GET // HTTP/1.1" 302 3056 "http://rumagic.com/tw.php" "Mozilla/4.0 (Compatible; Windows NT 5.1; MSIE 6.0) (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"
62.245.46.204 - - [02/Dec/2013:15:06:10 +0000] "GET /denied.php HTTP/1.1" 200 1963 "http://rumagic.com/tw.php" "Mozilla/4.0 (Compatible; Windows NT 5.1; MSIE 6.0) (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"
62.245.46.204 - - [02/Dec/2013:15:06:53 +0000] "GET // HTTP/1.1" 302 3056 "http://avtoru.org/index.php?forums/35/" "Mozilla/4.0 (Compatible; Windows NT 5.1; MSIE 6.0) (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"
62.245.46.204 - - [02/Dec/2013:15:06:54 +0000] "GET /denied.php HTTP/1.1" 200 1963 "http://avtoru.org/index.php?forums/35/" "Mozilla/4.0 (Compatible; Windows NT 5.1; MSIE 6.0) (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"
62.245.46.204 - - [02/Dec/2013:15:07:37 +0000] "GET // HTTP/1.1" 302 3056 "http://rumagic.com/deir/book1/deir-book1.htm" "Mozilla/4.0 (Compatible; Windows NT 5.1; MSIE 6.0) (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"
62.245.46.204 - - [02/Dec/2013:15:07:37 +0000] "GET /denied.php HTTP/1.1" 200 1963 "http://rumagic.com/deir/book1/deir-book1.htm" "Mozilla/4.0 (Compatible; Windows NT 5.1; MSIE 6.0) (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"
62.245.46.204 - - [02/Dec/2013:15:08:20 +0000] "GET // HTTP/1.1" 302 3056 "http://rulibs.com/ru_zar/sci_history/zamarovskiy/0/j12.html" "Mozilla/4.0 (Compatible; Windows NT 5.1; MSIE 6.0) (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"
62.245.46.204 - - [02/Dec/2013:15:08:21 +0000] "GET /denied.php HTTP/1.1" 200 1963 "http://rulibs.com/ru_zar/sci_history/zamarovskiy/0/j12.html" "Mozilla/4.0 (Compatible; Windows NT 5.1; MSIE 6.0) (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"
62.245.46.204 - - [02/Dec/2013:15:09:04 +0000] "GET // HTTP/1.1" 302 3056 "http://uznaipravdu.org/viewtopic.php?f=31&t=650" "Mozilla/4.0 (Compatible; Windows NT 5.1; MSIE 6.0) (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"
62.245.46.204 - - [02/Dec/2013:15:09:04 +0000] "GET /denied.php HTTP/1.1" 200 1963 "http://uznaipravdu.org/viewtopic.php?f=31&t=650" "Mozilla/4.0 (Compatible; Windows NT 5.1; MSIE 6.0) (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"
62.245.46.204 - - [02/Dec/2013:15:09:47 +0000] "GET // HTTP/1.1" 302 3056 "http://rusfoto.net/" "Mozilla/4.0 (Compatible; Windows NT 5.1; MSIE 6.0) (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"
62.245.46.204 - - [02/Dec/2013:15:09:48 +0000] "GET /denied.php HTTP/1.1" 200 1963 "http://rusfoto.net/" "Mozilla/4.0 (Compatible; Windows NT 5.1; MSIE 6.0) (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"
62.245.46.204 - - [02/Dec/2013:15:10:31 +0000] "GET // HTTP/1.1" 302 3056 "http://programming-lang.com/" "Mozilla/4.0 (Compatible; Windows NT 5.1; MSIE 6.0) (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"
62.245.46.204 - - [02/Dec/2013:15:10:31 +0000] "GET /denied.php HTTP/1.1" 200 1963 "http://programming-lang.com/" "Mozilla/4.0 (Compatible; Windows NT 5.1; MSIE 6.0) (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"
62.245.46.204 - - [02/Dec/2013:15:11:14 +0000] "GET // HTTP/1.1" 302 3056 "http://rulibs.com/ru_zar/sf/index.html?10" "Mozilla/4.0 (Compatible; Windows NT 5.1; MSIE 6.0) (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"
62.245.46.204 - - [02/Dec/2013:15:11:14 +0000] "GET /denied.php HTTP/1.1" 200 1963 "http://rulibs.com/ru_zar/sf/index.html?10" "Mozilla/4.0 (Compatible; Windows NT 5.1; MSIE 6.0) (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"
62.245.46.204 - - [02/Dec/2013:15:11:57 +0000] "GET // HTTP/1.1" 302 3056 "http://smbb.ws/index.php?threads/26255/" "Mozilla/4.0 (Compatible; Windows NT 5.1; MSIE 6.0) (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"
62.245.46.204 - - [02/Dec/2013:15:11:58 +0000] "GET /denied.php HTTP/1.1" 200 1963 "http://smbb.ws/index.php?threads/26255/" "Mozilla/4.0 (Compatible; Windows NT 5.1; MSIE 6.0) (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"
62.245.46.204 - - [02/Dec/2013:15:12:41 +0000] "GET // HTTP/1.1" 302 3056 "http://www.avtoru.org/index.php?forums/3/" "Mozilla/4.0 (Compatible; Windows NT 5.1; MSIE 6.0) (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"
62.245.46.204 - - [02/Dec/2013:15:12:41 +0000] "GET /denied.php HTTP/1.1" 200 1963 "http://www.avtoru.org/index.php?forums/3/" "Mozilla/4.0 (Compatible; Windows NT 5.1; MSIE 6.0) (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"
62.245.46.204 - - [02/Dec/2013:15:13:27 +0000] "GET // HTTP/1.1" 302 3056 "http://smbb.ws/index.php?forums/13/" "Mozilla/4.0 (Compatible; Windows NT 5.1; MSIE 6.0) (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"
62.245.46.204 - - [02/Dec/2013:15:13:27 +0000] "GET /denied.php HTTP/1.1" 200 1963 "http://smbb.ws/index.php?forums/13/" "Mozilla/4.0 (Compatible; Windows NT 5.1; MSIE 6.0) (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"
62.245.46.204 - - [02/Dec/2013:15:14:10 +0000] "GET // HTTP/1.1" 302 3056 "http://avtoru.org/tw.php" "Mozilla/4.0 (Compatible; Windows NT 5.1; MSIE 6.0) (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"
62.245.46.204 - - [02/Dec/2013:15:14:11 +0000] "GET /denied.php HTTP/1.1" 200 1963 "http://avtoru.org/tw.php" "Mozilla/4.0 (Compatible; Windows NT 5.1; MSIE 6.0) (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"
62.245.46.204 - - [02/Dec/2013:15:14:54 +0000] "GET // HTTP/1.1" 302 3056 "http://rumagic.com/_flv/" "Mozilla/4.0 (Compatible; Windows NT 5.1; MSIE 6.0) (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"
62.245.46.204 - - [02/Dec/2013:15:14:54 +0000] "GET /denied.php HTTP/1.1" 200 1963 "http://rumagic.com/_flv/" "Mozilla/4.0 (Compatible; Windows NT 5.1; MSIE 6.0) (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"
62.245.46.204 - - [02/Dec/2013:15:15:37 +0000] "GET // HTTP/1.1" 302 3056 "http://uznaipravdu.org/tw.php" "Mozilla/4.0 (Compatible; Windows NT 5.1; MSIE 6.0) (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"
62.245.46.204 - - [02/Dec/2013:15:15:37 +0000] "GET /denied.php HTTP/1.1" 200 1963 "http://uznaipravdu.org/tw.php" "Mozilla/4.0 (Compatible; Windows NT 5.1; MSIE 6.0) (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"

apache referer

pregunta Jamie Taylor 02.12.2013 - 16:58

fuente

1 respuesta

Lea otras preguntas en las etiquetas apache referer

¿Cómo evita ssl los ataques MITM [duplicado] Si todos los certificados de servidor de una CA tienen la misma CRL

score 2 · Accepted Answer

Existe la posibilidad de que estén intentando hacer DoS en su servidor, pero teniendo en cuenta la velocidad a la que están realizando un trabajo muy deficiente. Generalmente las botnets tienen tres propósitos:

información del índice (rastrea sus sitios web)
reduzca su sitio web utilizando un ataque DoS de capa 7 (es poco probable que tenga en cuenta la tasa muy baja a la que está accediendo a su sitio web)
anuncios de abuso en su sitio web para aumentar sus ganancias

Cualquiera de estos puede ser una razón, no me preocuparía demasiado, si te molesta, simplemente eliminaría el tráfico a nivel de firewall.