Estoy recibiendo solicitudes inusuales de obtención en mi servidor: /op69okl?name=http://www.ntdtv.com/
o /op69okl?name=http://www.epochtimes.com/
o algo similar con otros sitios en el parámetro. Hacer una búsqueda de op69okl
parece ser el nombre de usuario de una cuenta porno.
Para aclarar mi interés en esta pregunta: soy desarrollador de software, pero empecé a hacer ingeniería inversa y aprendí más sobre el malware recientemente. Así que todavía soy demasiado novato para abordar esto sistemáticamente.
Las solicitudes provienen de direcciones IP en China, casi todas las IP son diferentes y rara vez se repiten. Como la propiedad intelectual es tan diferente, me hace creer que son robots. Supongo que podrían estar buscando una vulnerabilidad y esperando una respuesta determinada. En mi caso, mi servidor (que no ejecuta ningún marco común) no está devolviendo 404 a esta solicitud, sino que se redirecciona a una página predeterminada. Me pregunto si es por eso que el bot sigue intentando mi IP.
Soy curioso cómo investigar esto más a fondo. Actualmente estoy aprendiendo cómo detectar malware, estoy pensando como un primer paso para trazar las direcciones IP de las solicitudes entrantes y obtener más información de dónde provienen y con qué frecuencia (comenzó hace 3 días; no es muy frecuente). Luego quiero configurar un nuevo servidor y ver si puedo "capturar" la misma solicitud nuevamente. WordPress u otro marco común funcionaría bien para esto, creo.
¿Qué más puedo hacer para investigar esto? Tomo esto como una oportunidad de aprendizaje de la vida real.
P.S. Tengo mucha curiosidad por la razón por la que el bot está pasando ?name=
de esta manera. Me encantaría averiguarlo.