Es posible que alguien esté intentando borrar su sitio web con la esperanza de encontrar una vulnerabilidad. En realidad, es bastante normal verlos pasar. Se llama ruido de fondo de Internet (bueno, en este caso está ejecutando un servicio, por lo que la descripción no es del todo correcta).
Corrí esto a través de un decodificador de URL:
?????????? ?????? 85.17.122.209:6188; ?? ??????? ????? ??? ????????; Result: GET-????????? 1; ?? ??????? ????? ??? ????????
No estoy del todo seguro de lo que está tratando de lograr (¿podría ser esta tu IP?), pero podría ser que esté esperando encontrar una inyección SQL que permita la escalada de la inyección de comandos. También sospecho que están utilizando una codificación de caracteres diferente para algunos de los campos con la esperanza de que su código lo pase directamente a la base de datos de su base de datos (esto se denomina inyección de SQL de exploits de múltiples bytes, consulte aquí Explotaciones de caracteres múltiples - PHP / MySQL ). Sin embargo, no he podido identificar la codificación de caracteres utilizada.
También los he tenido en mis sitios web, generalmente no estoy muy preocupado por ellos (solo necesitas hacer un seguimiento de todas las actualizaciones de seguridad). Le aconsejo que obtenga un sistema de detección de intrusiones basado en host. Mi favorito en se llama OSSEC y (a veces después de un poco de ajuste) bloqueará automáticamente a estos delincuentes. También es bueno tener en cuenta que incorpora un cazador de rootkits, de modo que si lo violaron, empezará a notificar los cambios en los archivos (también se activa cuando realiza actualizaciones o edita archivos críticos, por lo que es para aquellas situaciones en las que está seguro de que no estaba haciendo algo).