Клиенты, запрашивающие искаженные URL

11

Я заметил несколько странных 404, которые выглядят как битый код перезаписи URL. Наш просмотрщик изображений запрашивает плитки, используя такие URL-адреса:

/media/204/service/dzi/1/1_files/7/0_0.jpg

Я вижу некоторые (менее 1%) запросы на слегка измененные URL:

/media/204/s/rvice/d/i/1/1_files/7/0_0.jpg

Эти запросы поступают с IP-адресов по всему миру (США, Канада, Китай, Россия, Индия, Израиль и т. Д.), Настольных и мобильных пользователей с несколькими пользовательскими агентами (Chrome, IE, Firefox, Mobile Safari и т. Д.), и в этом же сеансе часто происходит нормальная активность с одного и того же IP-адреса, поэтому я предполагаю, что это либо вредоносная программа, либо сломанный прокси / фильтр. Я не видел их ни от чего, кроме изображений, что говорит о том, что это может быть какой-то контент-фильтр.

Кто-нибудь еще видел это? Мои журналы CDN показывают, что первый запрос 8 июня увеличился с нескольких десятков до нескольких сотен в день.

404 logging Крис Адамс
источник
1
Интересно, что это, кажется, изменилось в дикой природе. Я сейчас вижу такие вещи /se/vice/zi/или /s/rvice/zi/чаще, чем /s/rvice/d/i/выше.
Крис Адамс
2
Какой URL у сайта? и как выглядит ваш htaccess.
Саймон Хейтер
Пример страницы может быть wdl.org/en/item/204/zoom - в любом обычном браузере эти жестко заданные пути передаются правильно. Пример, который только что произошел, показывает, что это также не ограничивается пользовательским агентом - я видел все от IE до Chrome и, теперь, Kindle Silk Browser: "" / media / 4395 / ervice / dz / 1 / 1_files / 12 /8_4.jpg HTTP / 1.1 "404 3091" wdl.org/en/item/4395/zoom "" Mozilla / 5.0 (Macintosh; U; Intel Mac OS X 10_6_3; ru-ru; Silk / 1.0.22.153_10033210) AppleWebKit /533.16 (KHTML, как Gecko) Версия / 5.0 Safari / 533.16 Silk-Accelerated = true "
Крис Адамс
@ChrisAdams На каком фреймворке или языке построен ваш сайт?
Анагио
1
Для чего это стоит, я видел аналогично искаженные URL-адреса. У меня нет четкого ответа, но в моем случае, когда я смог его отследить, он всегда ассоциировался с тем, что выглядело как автоматически генерируемые ссылки «связанные посты из Интернета».
s_ha_dum

Ответы:

1

Я считаю, что это запросы DZI (Deep Zoom Image). Ваше приложение имеет дело с картами? Наиболее вероятно, Silverlight?

Вы получаете это, потому что отсутствует одно из изображений коллекции или неправильно определена коллекция DZI.

http://msdn.microsoft.com/en-us/library/cc645022(v=vs.95).aspx

Данило Кобольд
источник
1
Это файлы DZI, но это не потому, что файл отсутствует - запрашиваемое имя файла на самом деле неверно. В моем примере выше я показал правильную форму, которую запрашивают почти все клиенты, но в некоторых случаях неочевидный сбой приводит к преобразованию одного символа в/
Крис Адамс
1

Иногда люди меняют URL-адреса, чтобы увидеть, как реагирует ваш сайт. Я сделал это с несколькими сайтами, где мне понадобились эталонные изображения высокого разрешения, и решил, что сайт масштабирует изображения на основе REQUEST_URI. Иногда (в зависимости от используемой библиотеки) вы можете изменить такие вещи, как размеры, каталоги и пропорции, чтобы получать сообщения об ошибках (чтобы сообщить вам, что кто-то работает на их сервере), и вы можете получить больше (немасштабированные изображения).

Большинство сайтов, которые используют программное обеспечение для масштабирования изображений, делают это для увеличения оптимизации страницы, и большинство пользователей, как правило, загружают изображения, которые не уменьшены [вниз], с их оригинальной цифровой камеры (иногда до 24 мегапикселей).

Другая (более вероятная) возможность

Так как IP-адреса со всего мира, может быть известная проблема с программным обеспечением, которое вы используете, и они (используя бот-сеть) пытаются выполнить эксплойт для непатчированной версии.

Абсолютный ноль
источник