Entri aneh dalam log akses yang mengandung / RS =

Saya baru-baru ini meluncurkan situs klien dan selama beberapa hari terakhir dan dengan frekuensi yang meningkat saya melihat entri aneh ke dalam log akses.

[28/Feb/2014:06:26:53 +0800] "GET //RS=^ADAA6U_G38x_VuWqDIVQJpBbDUsUW0- HTTP/1.1" 302 630 "http://www.domain.com.au/" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.116 Safari/537.36"]

dan

[28/Feb/2014:06:26:54 +0800] "GET /RS=%5eADAA6U_G38x_VuWqDIVQJpBbDUsUW0- HTTP/1.1" 404 8291 "http://www.domain.com.au/" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.116 Safari/537.36"

Bagian itu domain.com.auadalah alamat situs web yang sebenarnya. Saya telah mengubahnya untuk posting ini.

Saya tidak tahu apa yang coba diarsipkan karena ini hanya mengatur variabel get lain, yang tidak akan mengarsipkan apa pun, kecuali saya salah.

Apakah Anda pikir kami harus peduli dengan permintaan ini?
Apa permintaan yang coba diarsipkan?
Adakah yang bisa kita lakukan untuk menghentikan mereka?

apache-log-files pengguna3363066
sumber

tentang apa situs Anda? Jika tidak terlalu sensitif untuk diungkapkan. Plus apakah Anda memiliki CMS atau paket yang diinstal di situs itu?

PatomaS

@ Patoma Situs ini sedikit sensitif. Sistem CMS adalah pelanggan yang dibangun sendiri sehingga tidak perlu menghasilkan yang seperti ini. Karena informasi tambahan telah melihat beberapa koneksi dengan RK berikut ini = 0 / RS = N3luhChARYe3D3ZNSAkKO3L2gXE- Jadi tidak mengikuti log lain.

user3363066

Apakah rs, rk, atau rc merupakan parameter yang diterima / digunakan sistem Anda? Apakah Anda memiliki produk Microsoft sebelum menghadap Internet sebelumnya?

PatomaS

@ Patoma Tidak, ini adalah server Linux yang tidak pernah menjalankan apa pun yang terkait MS. Sejauh yang saya tahu tidak ada yang harus menggunakan parameter tersebut, setidaknya tidak dari antarmuka web.

user3363066

Maka itu harus baik-baik saja. Namun, cobalah untuk memblokir akses seperti yang direkomendasikan oleh Jhon

PatomaS

Jawaban:

Saya tidak dapat menemukan apa pun yang terkait dengan permintaan itu sehingga jika itu adalah sesuatu yang berbahaya itu belum terungkap. Saya juga tidak melihat bagaimana itu dapat digunakan untuk merusak situs Anda.

Karena itu, orang-orang jahat tampaknya selangkah lebih maju dari kita jadi jika permintaan ini tidak melayani tujuan yang bermanfaat di situs Anda, saya akan mencoba untuk memblokirnya. Bahkan jika hanya untuk menjaga agar log Anda tidak tercemar.

Saya akan mengatakan Anda harus mencoba untuk memblokir mereka jika memungkinkan. Dua bagian yang konsisten dari permintaan mereka adalah /RS=dan ADAA6U_G38x_VuWqDIVQJpBbDUsUW0sehingga mereka dapat menjadi apa yang Anda fokus pada untuk memblokir mereka.

John Conde
sumber

hanya sedikit pendapat. Saya pikir mereka mencoba menyerang perangkat lunak tertentu yang mengambil parameter untuk regex. Mungkin hanya menguji keberadaannya. Gagasan itu muncul karena% 5e adalah versi '^' yang disandikan. Ditambah memiliki '-' di akhir string, bisa membuatnya hanya menghasilkan rentang pada regex. Tentu saja, tanpa mengetahui regex, kami tidak tahu apakah itu relevan atau tidak.

PatomaS

Ini dia pendapat lain. graphicline.co.za/articles/added-uri-string-rsada

cayerdis

Mereka berasal dari pencakar web yang salah menggunakan Yahoo! Hasil pencarian . Penemuan ini dibuat oleh @tenants di forum XenForo . Mereka menjelaskan lebih banyak implikasi dari menerima permintaan ini dan bagaimana mereka menanganinya.

1. Apakah Anda pikir kami harus memperhatikan permintaan ini?

Anda tidak perlu khawatir dengan permintaan ini. Mereka hanya keunggulan bot bodoh dan bot bodoh berkeliaran di seluruh Internet. Permintaan ini tidak dapat diidentifikasi sebagai berbahaya hanya berdasarkan URL, mereka mungkin tidak bersalah.

2. Permintaan apa yang coba diarsipkan?

Mereka mencoba mendapatkan konten halaman yang mereka minta. Mereka tidak memiliki efek khusus, mereka adalah produk (yang tidak diinginkan) dari Yahoo! Cari goresan.

3. Apa yang bisa kita lakukan untuk menghentikan mereka?

Tidak juga, siapa pun bebas memposting permintaan apa pun yang mereka suka di internet . (Setidaknya secara teknis. Aspek sosial dan hukum dikesampingkan.)

Anda dapat membuangnya saat membuat laporan dari log Anda. Ini adalah opsi yang saya pilih.
Atau Anda dapat mencoba untuk memperbaiki permintaan agar berhasil dan tidak menghasilkan entri log . Ini mungkin yang paling banyak dilakukan dari apa yang saya lihat di web. Saya melihat kelemahan dalam pendekatan ini. Sambil membuat pengalaman pengunjung mereka lebih baik, mereka lupa siapa pengunjung itu. Bot bodoh. Saya tidak ingin bot bodoh di situs saya jadi saya tidak akan repot-repot meningkatkan pengalaman mereka.

Jika Anda ingin memperbaiki permintaan, Anda dapat melakukannya menggunakan mod-menulis ulang, mungkin dipanggil dari .htaccess, mis. menggunakan kode dari posting forum XenForo yang saya sebutkan di atas:

RewriteEngine On

# strange behaving bots, these are urls scraped from yahoo (botters scrapping for links, yahoo search link contain RK RS) tenants modification:
RewriteRule ^(.*)RK=0/RS= /$1 [L,NC,R=301]
RewriteRule ^(.*)RS=^ /$1 [L,NC,R=301]

Anda mungkin harus mengutak-atik regex sedikit, misalnya menambahkan garis miring tambahan (.*)jika jika URL Anda tidak berakhir dengan satu.

Terkait

laporan asli dari alam atau permintaan @ forum XenForo
RewriteRule untuk .html / RK = 0 / RS = [random_string] @ Stack Overflow
Aturan penulisan ulang .htaccess hapus semuanya setelah RK = 0 / RS = @ Stack Overflow
IT T: ".. // RK = 0 / RS = foo-" di URI @ The Blackboard (Rankexploits.com)
Log server web yang mengandung RS = ^? @ InfoSec Handlers Diary Blog (tidak terlalu menarik)
Menambahkan URI String RS = ^ ADA @ Graphicline (tidak terlalu menarik)

Kudos atas jawaban @man pada Stack Overflow dan komentar @webaware dalam pertanyaan ini untuk menemukan posting forum XenForo.

Palec
sumber