Clientes que solicitan URL ilegibles

11

He notado algunos 404 extraños que parecen ser códigos de reescritura de URL rotos. Nuestro visor de imágenes solicita mosaicos utilizando URL como esta:

/media/204/service/dzi/1/1_files/7/0_0.jpg

Veo algunas solicitudes, muy por debajo de <1%, para URL ligeramente alteradas:

/media/204/s/rvice/d/i/1/1_files/7/0_0.jpg

Estas solicitudes provienen de direcciones IP de todo el mundo (EE. UU., Canadá, China, Rusia, India, Israel, etc.), usuarios de escritorio y móviles con múltiples agentes de usuario (Chrome, IE, Firefox, Mobile Safari, etc.), y a menudo hay actividad normal dentro de la misma sesión desde la misma dirección IP, así que supongo que es malware o un proxy / filtro roto. No los he visto desde otra cosa que no sean imágenes, lo que sugiere que esto puede ser algún tipo de filtro de contenido.

¿Alguien más ha visto esto? Mis registros de CDN muestran que la primera solicitud el 8 de junio aumentó de varias docenas a varios cientos por día.

404 logging Chris Adams
fuente
1
Curiosamente, esto parece haber cambiado en la naturaleza. Ahora estoy viendo cosas como /se/vice/zi/o /s/rvice/zi/más comúnmente que las /s/rvice/d/i/anteriores.
Chris Adams el
2
¿Cuál es la URL del sitio? y cómo se ve tu htaccess.
Simon Hayter
Una página de ejemplo sería wdl.org/en/item/204/zoom : en cualquier navegador normal, esas rutas codificadas se pasan correctamente. Un ejemplo que acaba de suceder muestra que esto tampoco está limitado por el agente de usuario: he visto todo, desde IE hasta Chrome y, ahora, el navegador Kindle Silk: "" / media / 4395 / ervice / dz / 1 / 1_files / 12 /8_4.jpg HTTP / 1.1 "404 3091" wdl.org/en/item/4395/zoom "" Mozilla / 5.0 (Macintosh; U; Intel Mac OS X 10_6_3; en-us; Silk / 1.0.22.153_10033210) AppleWebKit /533.16 (KHTML, como Gecko) Versión / 5.0 Safari / 533.16 Silk-Accelerated = true "
Chris Adams
@ChrisAdams ¿En qué marco o idioma está construido su sitio web?
Anagio
1
Por lo que vale, he visto URL similares. No tengo una respuesta sólida, pero en mi caso, donde pude rastrearla, siempre se ha asociado con lo que parecen enlaces generados automáticamente "publicaciones relacionadas de la web".
s_ha_dum

Respuestas:

1

Creo que esas son solicitudes DZI (Deep Zoom Image). ¿Su aplicación trata con mapas? ¿La más probable Silverlight?

Lo está obteniendo porque falta una de las imágenes de la colección o porque la colección DZI no está definida correctamente.

http://msdn.microsoft.com/en-us/library/cc645022(v=vs.95).aspx

Danilo Kobold
fuente
1
Son archivos DZI pero no es porque falte un archivo: el nombre de archivo que se solicita es realmente incorrecto. En mi ejemplo anterior, mostré la forma correcta que casi todos los clientes solicitan, pero en algunos casos una falla no obvia hace que un solo personaje se convierta en un/
Chris Adams
1

A veces las personas cambian las URL para ver cómo responde su sitio. Hice esto con varios sitios donde necesitaba imágenes de referencia de alta resolución y pensé que el sitio estaba escalando las imágenes en función de REQUEST_URI. A veces (dependiendo de la biblioteca que se use) puede cambiar cosas como dimensiones, directorios y relaciones de aspecto para obtener mensajes de error (para decirle lo que alguien está ejecutando en su servidor) y puede obtener más grande (imágenes sin escala).

La mayoría de los sitios que usan el software de escalado de imágenes lo hacen para aumentar la optimización de la página, y la mayoría de los usuarios tienden a cargar imágenes que no se escalan [hacia abajo] desde su cámara digital original (a veces ahora hasta 24 mega píxeles).

Otra posibilidad (más probable)

Dado que las IP son de todo el mundo, puede haber un problema conocido con el software que está usando y están (usando una botnet) tratando de ejecutar un exploit para una versión no parcheada.

Cero absoluto
fuente