Entrada extraña en el registro de acceso que contiene / RS =

Recientemente lancé el sitio de un cliente y durante los últimos días, y con frecuencia creciente, veo entradas extrañas en el registro de acceso.

[28/Feb/2014:06:26:53 +0800] "GET //RS=^ADAA6U_G38x_VuWqDIVQJpBbDUsUW0- HTTP/1.1" 302 630 "http://www.domain.com.au/" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.116 Safari/537.36"]

[28/Feb/2014:06:26:54 +0800] "GET /RS=%5eADAA6U_G38x_VuWqDIVQJpBbDUsUW0- HTTP/1.1" 404 8291 "http://www.domain.com.au/" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.116 Safari/537.36"

La domain.com.auparte es la dirección real del sitio web. Lo he cambiado para esta publicación.

No puedo entender qué está tratando de archivar, ya que simplemente está configurando otra variable get, que no archivaría nada, a menos que esté equivocado.

¿Crees que deberíamos preocuparnos por estas solicitudes?
¿Qué intentan archivar estas solicitudes?
¿Algo que podamos hacer para detenerlos?

apache-log-files usuario3363066
fuente

¿De qué trata tu sitio? Si no es demasiado sensible para ser revelado. Además, ¿tiene algún CMS o paquete instalado en ese sitio?

PatomaS

@PatomaS El sitio es un poco sensible. El sistema CMS está construido internamente por el cliente, por lo que no debería generar nada como esto. Como información adicional, he visto algunas conexiones más con los siguientes RK = 0 / RS = N3luhChARYe3D3ZNSAkKO3L2gXE- Por lo tanto, no sigue los otros registros.

user3363066

¿Es rs, rk o rc un parámetro que su sistema acepta / usa? ¿Tenía algún producto de Microsoft antes de enfrentar Internet antes?

PatomaS

@ PatomaS No, este es un servidor Linux que nunca ha ejecutado nada relacionado con MS. Por lo que puedo decir, no hay nada que deba usar esos parámetros, al menos no desde una interfaz web.

user3363066

Entonces debería estar bien. Aún así, intente bloquear el acceso según lo recomendado por Jhon

PatomaS

Respuestas:

No pude encontrar nada relacionado con esa solicitud, por lo que si es algo malicioso, aún no ha salido a la luz. Tampoco veo cómo podría usarse para dañar su sitio.

Dicho esto, los malos parecen estar un paso por delante de nosotros, por lo que si esta solicitud no tiene ningún propósito útil en su sitio, trataría de bloquearla. Aunque solo sea para evitar que sus registros se contaminen.

Diría que deberías intentar bloquearlos si es posible. Las dos partes consistentes de esas solicitudes son /RS=y, ADAA6U_G38x_VuWqDIVQJpBbDUsUW0por lo tanto, pueden ser en lo que se enfoca para bloquearlas.

John Conde
fuente

Solo una pequeña opinión. Creo que intentan atacar un software específico que está tomando un parámetro para una expresión regular. Puede que solo esté probando la existencia. La idea surgió porque% 5e es la versión codificada de '^'. Además, tener un '-' al final de la cadena, puede hacer que solo genere un rango en la expresión regular. Por supuesto, sin conocer la expresión regular, no sabemos si eso es relevante o no.

PatomaS

Aquí hay otra opinión. graphicline.co.za/articles/added-uri-string-rsada

cayerdis

Vienen de los raspadores web que usan incorrectamente Yahoo! Buscar resultado. Este descubrimiento fue realizado por @tenants en el foro XenForo . Explican más de las implicaciones de recibir estas solicitudes y cómo las manejan.

1. ¿Crees que deberíamos preocuparnos por estas solicitudes?

No tiene que preocuparse por estas solicitudes. Son solo sellos distintivos de los bots tontos y los bots tontos deambulan por Internet. Estas solicitudes no deben identificarse como maliciosas solo en función de la URL, probablemente sean inocentes.

2. ¿Qué están tratando de archivar estas solicitudes?

Están tratando de obtener el contenido de la página que están solicitando. No tienen ningún efecto especial, son productos (no deseados) de un Yahoo! Buscar raspado.

3. ¿Algo que podamos hacer para detenerlos?

En realidad no, cualquiera es libre de publicar cualquier solicitud que desee en la red . (Al menos técnicamente. Aspectos sociales y legales apartados).

Puede tirarlos al generar informes de sus registros. Esta es la opción que elegí.
O puede intentar arreglar las solicitudes para tener éxito y no generar entradas de registro . Esto es probablemente lo que la mayoría hace de lo que vi en la web. Veo una falla en este enfoque. Mientras mejoran la experiencia de sus visitantes, olvidan quiénes son esos visitantes. Tontos bots. No quiero bots tontos en mis sitios, así que no me molestaré en mejorar su experiencia.

Si desea corregir las solicitudes, puede hacerlo utilizando reescribir mod, posiblemente llamado desde .htaccess, por ejemplo, usando el código de la publicación del foro XenForo que mencioné anteriormente:

RewriteEngine On

# strange behaving bots, these are urls scraped from yahoo (botters scrapping for links, yahoo search link contain RK RS) tenants modification:
RewriteRule ^(.*)RK=0/RS= /$1 [L,NC,R=301]
RewriteRule ^(.*)RS=^ /$1 [L,NC,R=301]

Puede que tenga que jugar un poco con las expresiones regulares, por ejemplo, agregue una barra adicional después de (.*)si sus URL no terminan con una.

Relacionado

informe original de la naturaleza o el foro de solicitudes @ XenForo
RewriteRule para .html / RK = 0 / RS = [random_string] @ Desbordamiento de pila
La regla de reescritura de .htaccess elimina todo después de RK = 0 / RS = @ Stack Overflow
IT Q: ".. // RK = 0 / RS = foo-" en URI @ The Blackboard (Rankexploits.com)
Registros del servidor web que contienen RS = ^? @ InfoSec Handlers Diary Blog (no muy interesante)
Cadena URI agregada RS = ^ ADA @ Graphicline (no muy interesante)

Felicitaciones a la respuesta de @ dman sobre Stack Overflow y el comentario de @webaware bajo esta pregunta para encontrar la publicación del foro XenForo.

Palec
fuente