¿Este GET solicita un intento de explotación?

9

He notado algunas solicitudes como esta a una aplicación de Rails que estoy manteniendo:

GET http://mydomain.com/?f=4&t=252751+++++++++++++++++++++++++++++++++++++++++Result:+%E8%F1%EF%EE%EB%FC%E7%F3%E5%EC+%EF%F0%EE%EA%F1%E8+85.17.122.209:6188;+%ED%E5+%ED%E0%F8%EB%EE%F1%FC+%F4%EE%F0%EC%FB+%E4%EB%FF+%EE%F2%EF%F0%E0%E2%EA%E8;+Result:+GET-%F2%E0%E9%EC%E0%F3%F2%EE%E2+1;+%ED%E5+%ED%E0%F8%EB%EE%F1%FC+%F4%EE%F0%EC%FB+%E4%EB%FF+%EE%F2%EF%F0%E0%E2%EA%E8;

Parece un intento de explotar alguna vulnerabilidad para mí, pero no puedo entender lo que se supone que debe hacer, y es algo difícil de buscar en Google. Cualquier apreciación sería apreciada.

    
pregunta Thilo 29.07.2013 - 09:42
fuente

2 respuestas

26

El parámetro de solicitud está codificado con la página de códigos de Windows 1251 y contiene un mensaje de error aparentemente inofensivo en ruso:

используем прокси 85.17.122.209:6188; не нашлось формы для отправки; Resultado: GET-таймаутов 1; не нашлось формы для отправки;

Traducido aproximadamente al inglés, el mensaje dice:

utilizando proxy 85.17.122.209:6188; no había formularios para enviar; Resultado: GET-timeout 1; no había formularios para enviar;

Seguramente no parece que alguien esté intentando hackearte. Preferiría suponer que algo está intentando informar un error y, debido a una configuración incorrecta, está llamando a su servidor en lugar de lo que se supone que debe rastrear o resolver el problema.

    
respondido por el jarnbjo 29.07.2013 - 15:48
fuente
4

Es posible que alguien esté intentando borrar su sitio web con la esperanza de encontrar una vulnerabilidad. En realidad, es bastante normal verlos pasar. Se llama ruido de fondo de Internet (bueno, en este caso está ejecutando un servicio, por lo que la descripción no es del todo correcta).

Corrí esto a través de un decodificador de URL:

?????????? ?????? 85.17.122.209:6188; ?? ??????? ????? ??? ????????; Result: GET-????????? 1; ?? ??????? ????? ??? ????????

No estoy del todo seguro de lo que está tratando de lograr (¿podría ser esta tu IP?), pero podría ser que esté esperando encontrar una inyección SQL que permita la escalada de la inyección de comandos. También sospecho que están utilizando una codificación de caracteres diferente para algunos de los campos con la esperanza de que su código lo pase directamente a la base de datos de su base de datos (esto se denomina inyección de SQL de exploits de múltiples bytes, consulte aquí Explotaciones de caracteres múltiples - PHP / MySQL ). Sin embargo, no he podido identificar la codificación de caracteres utilizada.

También los he tenido en mis sitios web, generalmente no estoy muy preocupado por ellos (solo necesitas hacer un seguimiento de todas las actualizaciones de seguridad). Le aconsejo que obtenga un sistema de detección de intrusiones basado en host. Mi favorito en se llama OSSEC y (a veces después de un poco de ajuste) bloqueará automáticamente a estos delincuentes. También es bueno tener en cuenta que incorpora un cazador de rootkits, de modo que si lo violaron, empezará a notificar los cambios en los archivos (también se activa cuando realiza actualizaciones o edita archivos críticos, por lo que es para aquellas situaciones en las que está seguro de que no estaba haciendo algo).

    
respondido por el Lucas Kauffman 29.07.2013 - 12:27
fuente

Lea otras preguntas en las etiquetas