Ayer a las 3AM, nuestro Fail2ban bloqueó una IP, lo que no es tremendamente raro, sin embargo, parece estar relacionado con una dirección de Microsoft. Quizás este podría ser un servidor de Azure utilizado para el abuso.
Mi principal preocupación es exactamente qué estaba intentando hacer y, si me debería preocupar. Por favor, lea los siguientes extractos:
13.67.210.80 - - [08/Jun/2016:03:03:25 +0100] "GET /event/-1;select%20pg_sleep(6);%20--%20/admin/profile/ href= HTTP/1.1" 200 139
13.67.210.80 - - [08/Jun/2016:03:03:27 +0100] "GET /-1'%20OR%202%2b395-395-1%3d0%2b0%2b0%2b1%20--%20/edit HTTP/1.1" 200 139 "
13.67.210.80 - - [08/Jun/2016:03:03:23 +0100] "GET /(select(0)from(select(sleep(6)))v)/*'%2b(select(0)from(select(sleep(6)))v)%2b'%22%2b(select(0)from(select(sleep(6)))v)%2b%22*//
13.67.210.80 - - [08/Jun/2016:03:03:27 +0100] "GET /if(now()%3dsysdate()%2csleep(12)%2c0)/*'XOR(if(now()%3dsysdate()%2csleep(12)%2c0))OR'%22XOR(if(now()%3dsysdate()%2csleep(12)%2c0))OR%22*//
Por supuesto, hay muchas otras solicitudes, la mayoría de las cuales son "normales", es decir, no intentan inyectar ningún tipo de código, solo intentan editar secciones del sitio (sin resultados)
He notado varias referencias a la empresa de vulnerabilidad web Acunetix, como las solicitudes de:
/acunetix-wvs-test-for-some-inexistent-file
Así que solo puedo suponer que alguien está utilizando sus servicios para intentar abrir agujeros en nuestro sistema.
Mi pregunta es, ¿qué estaban tratando de hacer? ¿Qué puedo hacer al respecto e incluso me debería importar?
¿Debo comunicarme con una de las compañías mencionadas anteriormente, o es algo común?