Странная запись в журнале доступа, содержащая / RS =

Я недавно запустил сайт клиента и в последние несколько дней все чаще и чаще вижу странные записи в журнале доступа.

[28/Feb/2014:06:26:53 +0800] "GET //RS=^ADAA6U_G38x_VuWqDIVQJpBbDUsUW0- HTTP/1.1" 302 630 "http://www.domain.com.au/" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.116 Safari/537.36"]

а также

[28/Feb/2014:06:26:54 +0800] "GET /RS=%5eADAA6U_G38x_VuWqDIVQJpBbDUsUW0- HTTP/1.1" 404 8291 "http://www.domain.com.au/" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.116 Safari/537.36"

domain.com.auЧасть фактический адрес веб - сайта. Я изменил это для этого поста.

Я не могу понять, что это пытается архивировать, поскольку он просто устанавливает другую переменную get, которая ничего не будет архивировать, если я не ошибаюсь.

Как вы думаете, мы должны быть обеспокоены этими запросами?
Что эти запросы пытаются архивировать?
Что-нибудь, что мы можем сделать, чтобы остановить их?

apache-log-files user3363066
источник

О чем ваш сайт? Если это не слишком чувствительно, чтобы быть раскрытым. Кроме того, у вас есть CMS или пакет, установленный на этом сайте?

PatomaS

@PatomaS Сайт немного чувствительный. Система CMS построена по принципу заказчика, поэтому не должна генерировать ничего подобного. В качестве дополнительной информации мы увидели еще несколько соединений со следующим RK = 0 / RS = N3luhChARYe3D3ZNSAkKO3L2gXE - поэтому он не следует за другими журналами.

user3363066

Является ли rs, rk или rc параметром, который ваша система принимает / использует? Был ли у вас какой-либо продукт Microsoft до выхода в Интернет?

PatomaS

@PatomaS Нет, это сервер Linux, который никогда не запускал ничего связанного с MS. Насколько я могу судить, нет ничего, что должно использовать этот параметр, по крайней мере, не из веб-интерфейса.

user3363066

Тогда должно быть хорошо. Тем не менее, попробуйте заблокировать доступ в соответствии с рекомендациями Jhon

PatomaS

Ответы:

Я не смог найти ничего, связанного с этим запросом, поэтому, если это что-то вредоносное, оно еще не обнаружилось. Я также не понимаю, как это может быть использовано для нанесения вреда вашему сайту.

Сказав это, плохие парни, похоже, на шаг впереди нас, поэтому, если этот запрос не служит какой-либо полезной цели на вашем сайте, я постараюсь заблокировать его. Даже если только сохранить ваши журналы от загрязнения.

Я бы сказал, что вы должны попытаться заблокировать их, если это возможно. Две непротиворечивые части этого запроса, /RS=и ADAA6U_G38x_VuWqDIVQJpBbDUsUW0поэтому они могут быть тем, на чем вы сосредоточены, чтобы заблокировать их.

Джон Конде
источник

просто небольшое мнение. Я думаю, что они пытаются атаковать определенное программное обеспечение, которое принимает параметр для регулярного выражения. Может быть, просто проверяет существование. Идея пришла, потому что% 5e является закодированной версией '^'. Кроме того, наличие символа «-» в конце строки может привести к генерации диапазона в регулярном выражении. Конечно, не зная регулярное выражение, мы не знаем, имеет ли это отношение или нет.

PatomaS

Здесь это другое мнение. graphicline.co.za/articles/added-uri-string-rsada

cayerdis

Они приходят из веб-скребков, неправильно используя Yahoo! Результат поиска . Это открытие было сделано @tenants на форуме XenForo . Они объясняют больше последствий получения этих запросов и как они обрабатывают их.

1. Как вы думаете, мы должны быть обеспокоены этими запросами?

Вам не нужно беспокоиться об этих запросах. Они просто отличительные черты тупых ботов, и глупые боты бродят по всему Интернету. Эти запросы не должны быть идентифицированы как вредоносные только на основе URL, они, вероятно, невиновны.

2. Что эти запросы пытаются архивировать?

Они пытаются получить содержимое запрашиваемой страницы. У них нет особого эффекта, они (нежелательные) продукты Yahoo! Поиск соскоба.

3. Что мы можем сделать, чтобы остановить их?

Не совсем, каждый может свободно размещать любые запросы в сети . (По крайней мере, технически. Социальные и правовые аспекты оставлены в стороне.)

Вы можете выбросить их при создании отчетов из ваших журналов. Это вариант, который я выбрал.
Или вы можете попытаться исправить запросы, чтобы они не выполнялись, а не создавать записи в журнале . Это, вероятно, то, что большинство делают из того, что я видел в Интернете. Я вижу недостаток в этом подходе. Делая опыт своих посетителей лучше, они забывают, кто эти посетители. Тупые боты. Я не хочу, чтобы на моих сайтах появлялись тупые боты, поэтому я не буду беспокоиться об их улучшении.

Если вы хотите исправить запросы, вы можете сделать это с помощью мод-переписанвозможно, вызванный из .htaccessнапример, используя код из поста на форуме XenForo, о котором я упоминал выше:

RewriteEngine On

# strange behaving bots, these are urls scraped from yahoo (botters scrapping for links, yahoo search link contain RK RS) tenants modification:
RewriteRule ^(.*)RK=0/RS= /$1 [L,NC,R=301]
RewriteRule ^(.*)RS=^ /$1 [L,NC,R=301]

Возможно, вам придется немного поиграть с регулярными выражениями, например, добавить дополнительную косую черту после, (.*)если ваши URL не заканчиваются таковой.

связанные с

оригинальный отчет о природе или запросах @ XenForo forum
RewriteRule для .html / RK = 0 / RS = [random_string] @ Переполнение стека
Правило перезаписи .htaccess удаляет все после RK = 0 / RS = @ Переполнение стека
IT Q: ”.. // RK = 0 / RS = foo-” в URI @ Blackboard (Rankexploits.com)
Логи веб-сервера, содержащие RS = ^? @ Блог дневника обработчиков InfoSec (не очень интересно)
Добавлена строка URI RS = ^ ADA @ Graphicline (не очень интересно)

Престижность ответа @ dman на Stack Overflow и комментария @webaware по этому вопросу для поиска сообщения на форуме XenForo.

Palec
источник