Solicitud GET inusual

5

Estoy recibiendo solicitudes inusuales de obtención en mi servidor: /op69okl?name=http://www.ntdtv.com/ o /op69okl?name=http://www.epochtimes.com/ o algo similar con otros sitios en el parámetro. Hacer una búsqueda de op69okl parece ser el nombre de usuario de una cuenta porno.

Para aclarar mi interés en esta pregunta: soy desarrollador de software, pero empecé a hacer ingeniería inversa y aprendí más sobre el malware recientemente. Así que todavía soy demasiado novato para abordar esto sistemáticamente.

Las solicitudes provienen de direcciones IP en China, casi todas las IP son diferentes y rara vez se repiten. Como la propiedad intelectual es tan diferente, me hace creer que son robots. Supongo que podrían estar buscando una vulnerabilidad y esperando una respuesta determinada. En mi caso, mi servidor (que no ejecuta ningún marco común) no está devolviendo 404 a esta solicitud, sino que se redirecciona a una página predeterminada. Me pregunto si es por eso que el bot sigue intentando mi IP.

Soy curioso cómo investigar esto más a fondo. Actualmente estoy aprendiendo cómo detectar malware, estoy pensando como un primer paso para trazar las direcciones IP de las solicitudes entrantes y obtener más información de dónde provienen y con qué frecuencia (comenzó hace 3 días; no es muy frecuente). Luego quiero configurar un nuevo servidor y ver si puedo "capturar" la misma solicitud nuevamente. WordPress u otro marco común funcionaría bien para esto, creo.

¿Qué más puedo hacer para investigar esto? Tomo esto como una oportunidad de aprendizaje de la vida real.

P.S. Tengo mucha curiosidad por la razón por la que el bot está pasando ?name= de esta manera. Me encantaría averiguarlo.

    
pregunta Serge Poele 22.03.2018 - 17:29
fuente

1 respuesta

6

Esta respuesta:

enlace

sugiere que es una sonda del gran cortafuegos de China, que busca puertas de enlace que permitan a la gente acceder a sitios bloqueados. No puedo verificar empíricamente, pero parece plausible que esos dominios encajen en esa categoría.

Podría ser interesante intentar devolver el contenido de esos dominios y ver qué hace el robot en respuesta.

    
respondido por el Jonah Benton 22.03.2018 - 20:59
fuente

Lea otras preguntas en las etiquetas