Entrée étrange dans le journal d'accès contenant / RS =

J'ai récemment lancé un site client et au cours des derniers jours et avec une fréquence croissante, je vois des entrées étranges dans le journal d'accès.

[28/Feb/2014:06:26:53 +0800] "GET //RS=^ADAA6U_G38x_VuWqDIVQJpBbDUsUW0- HTTP/1.1" 302 630 "http://www.domain.com.au/" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.116 Safari/537.36"]

[28/Feb/2014:06:26:54 +0800] "GET /RS=%5eADAA6U_G38x_VuWqDIVQJpBbDUsUW0- HTTP/1.1" 404 8291 "http://www.domain.com.au/" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.116 Safari/537.36"

La domain.com.aupartie est l'adresse réelle du site Web. Je l'ai changé pour ce post.

Je ne peux pas comprendre ce que cela essaie d'archiver car il définit simplement une autre variable get, qui ne archiverait rien, sauf si je me trompe.

Pensez-vous que nous devrions nous préoccuper de ces demandes?
Quelles sont ces demandes essayant d'archiver?
Que pouvons-nous faire pour les arrêter?

apache-log-files user3363066
la source

de quoi parle votre site? Si ce n'est pas trop sensible pour être divulgué. De plus, avez-vous un CMS ou un package installé sur ce site?

PatomaS

@PatomaS Le site est un peu sensible. Le système CMS est construit par le client en interne et ne devrait donc pas générer quelque chose comme ça. Comme des informations supplémentaires ont vu plus de connexions avec le RK = 0 / RS = N3luhChARYe3D3ZNSAkKO3L2gXE-, il ne suit donc pas les autres journaux.

user3363066

Rs, rk ou rc est-il un paramètre que votre système accepte / utilise? Aviez-vous déjà eu un produit Microsoft avant de faire face à Internet?

PatomaS

@PatomaS Non, il s'agit d'un serveur Linux qui n'a jamais exécuté quoi que ce soit lié à MS. Pour autant que je sache, il n'y a rien qui devrait utiliser ces paramètres, du moins pas à partir d'une interface Web.

user3363066

Alors ça devrait aller. Toujours, essayez de bloquer l'accès comme recommandé par Jhon

PatomaS

Réponses:

Je n'ai rien trouvé de similaire à cette demande, donc s'il s'agit de quelque chose de malveillant, il n'est pas encore apparu. Je ne vois pas non plus comment cela pourrait être utilisé pour nuire à votre site.

Cela dit, les méchants semblent avoir une longueur d'avance sur nous, donc si cette demande ne sert à rien sur votre site, j'essaierais de la bloquer. Ne serait-ce que pour empêcher la pollution de vos journaux.

Je dirais que vous devriez essayer de les bloquer si possible. Les deux parties cohérentes de ces demandes sont /RS=et ADAA6U_G38x_VuWqDIVQJpBbDUsUW0peuvent donc être ce sur quoi vous vous concentrez pour les bloquer.

John Conde
la source

juste un petit avis. Je pense qu'ils essaient d'attaquer un logiciel spécifique qui prend un paramètre pour une expression régulière. Peut-être simplement tester l'existence. L'idée est venue parce que% 5e est la version encodée de '^'. De plus, avoir un «-» à la fin de la chaîne, peut simplement générer une plage sur l'expression régulière. Bien sûr, ne connaissant pas l'expression régulière, nous ne savons pas si cela est pertinent ou non.

PatomaS

Ici, c'est une autre opinion. graphicline.co.za/articles/added-uri-string-rsada

cayerdis

Ils proviennent de grattoirs Web utilisant incorrectement Yahoo! Résultat de la recherche . Cette découverte a été faite par @tenants sur le forum XenForo . Ils expliquent davantage les implications de la réception de ces demandes et comment ils les traitent.

1. Pensez-vous que nous devrions nous préoccuper de ces demandes?

Vous n'avez pas à vous soucier de ces demandes. Ce ne sont que des caractéristiques des bots stupides et des bots stupides se promènent partout sur Internet. Ces demandes ne doivent pas être identifiées comme malveillantes uniquement en fonction de l'URL, elles sont probablement innocentes.

2. Quelles sont ces demandes essayant d'archiver?

Ils essaient d'obtenir le contenu de la page qu'ils demandent. Ils n'ont aucun effet spécial, ce sont des produits (non souhaités) d'un Yahoo! Recherche de grattage.

3. Que pouvons-nous faire pour les arrêter?

Pas vraiment, tout le monde est libre de poster toutes les demandes qu'il aime sur le net . (Au moins techniquement. Aspects sociaux et juridiques mis de côté.)

Vous pouvez les jeter lors de la génération de rapports à partir de vos journaux. C'est l'option que j'ai choisie.
Ou vous pouvez essayer de corriger les demandes pour réussir et ne pas générer d'entrées de journal . C'est probablement ce que la plupart font de ce que j'ai vu sur le web. Je vois une faille dans cette approche. Tout en améliorant l'expérience de leurs visiteurs, ils oublient qui sont ces visiteurs. Bots stupides. Je ne veux pas de bots stupides sur mes sites, donc je ne vais pas prendre la peine d'améliorer leur expérience.

Si vous souhaitez corriger les demandes, vous pouvez le faire en utilisant mod-réécriture, peut-être appelé depuis .htaccess, par exemple en utilisant le code du post du forum XenForo que j'ai mentionné ci-dessus:

RewriteEngine On

# strange behaving bots, these are urls scraped from yahoo (botters scrapping for links, yahoo search link contain RK RS) tenants modification:
RewriteRule ^(.*)RK=0/RS= /$1 [L,NC,R=301]
RewriteRule ^(.*)RS=^ /$1 [L,NC,R=301]

Vous devrez peut-être un peu manipuler les expressions rationnelles, par exemple ajouter une barre oblique supplémentaire après le (.*)si vos URL ne se terminent pas par une.

en relation

rapport original de la nature ou des requêtes @ forum XenForo
RewriteRule pour .html / RK = 0 / RS = [random_string] @ Stack Overflow
La règle de réécriture .htaccess supprime tout après RK = 0 / RS = @ Stack Overflow
IT Q: ”.. // RK = 0 / RS = foo-” dans URI @ The Blackboard (Rankexploits.com)
Journaux du serveur Web contenant RS = ^? @ InfoSec Handlers Diary Blog (pas très intéressant)
URI String RS = ^ ADA @ Graphicline ajouté (pas très intéressant)

Félicitations à la réponse de @ dman sur Stack Overflow et au commentaire de @webaware sous cette question pour avoir trouvé le message du forum XenForo.

Palec
la source