Estaba examinando el archivo de registro de mi servidor web esta tarde cuando vi un par de entradas como esta, que no me gustaron y prohibí la IP en iptables.
113.90.122.99 - - [20/Sep/2016:19:07:58 +0100] "GET /maintenance-guide.php?operation=showrss&v=2&at1=31A2319C31AE31B2326E321A319431C631A2319E324231AC31A231A031AC319431A231A0319831A032423238BA&at2=10724&at3=D9C01B841A3D154913D44BF09EB9FD1C&at4=EYZ3eHDALFZTwO5Gxv2dlfdT+u9KiSCU HTTP/1.1" 200 845 "-" "Mozilla/4.0 (compatible; MSIE8.0; Windows NT 6.0) .NET CLR 2.0.50727)"
113.90.122.99 - - [20/Sep/2016:19:07:59 +0100] "GET /board.php?operation=showrss&v=2&at1=31A2319C31AE31B2326E321A319431C631A2319E324231AC31A231A031AC319431A231A0319831A032423238BA&at2=10724&at3=D9C01B841A3D154913D44BF09EB9FD1C&at4=EYZ3eHDALFZTwO5Gxv2dlfdT+u9KiSCU HTTP/1.1" 200 838 "-" "Mozilla/4.0 (compatible; MSIE8.0; Windows NT 6.0) .NET CLR 2.0.50727)"
113.90.122.99 - - [20/Sep/2016:19:08:00 +0100] "GET /links.php HTTP/1.1" 200 3097 "-" "Mozilla/4.0 (compatible; MSIE8.0; Windows NT 6.0) .NET CLR 2.0.50727)"
Más tarde ese mismo día, el propietario de otro sitio me contactó (el cual tiene un solo <a> en la página links.php) y me informó que mi dirección IP parece estar lanzando un ataque DOS. en contra de su sitio web y lo anterior es la última actividad cuestionable que he visto.
¿Qué muestran los registros de acceso? ¿Es un ataque de Cross Site Scripting o es otra cosa? No creo que los datos en los parámetros GET estén codificados en Base64 o URL codificados.