En los registros de nuestro servidor noté que después de que un empleado específico accediera a una ruta interna y sensible, a veces habría un "eco" originado en una dirección IP extranjera (en este caso, en ruso) algunas veces horas e incluso días después. Por ejemplo,
Employee, 09:52: /api/1/foo/<internal_id>/bar
Russian IP 11:45: /api/1/foo/<internal_id>/bar
La dirección no recibe spam y no se envían encabezados confidenciales con la segunda solicitud. ¿Es este un ataque común? ¿Alguien puede indicarme la dirección correcta sobre cómo combatir esto en el futuro o más información sobre qué tipo de malware / virus causaría este tipo de comportamiento?
Gracias por tomarse el tiempo de leer, espero cualquier respuesta.