Entrada estranha no log de acesso que contém / RS =

Lancei recentemente o site de um cliente e, nos últimos dias, e com crescente frequência, vejo entradas estranhas no log de acesso.

[28/Feb/2014:06:26:53 +0800] "GET //RS=^ADAA6U_G38x_VuWqDIVQJpBbDUsUW0- HTTP/1.1" 302 630 "http://www.domain.com.au/" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.116 Safari/537.36"]

[28/Feb/2014:06:26:54 +0800] "GET /RS=%5eADAA6U_G38x_VuWqDIVQJpBbDUsUW0- HTTP/1.1" 404 8291 "http://www.domain.com.au/" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.116 Safari/537.36"

A domain.com.auparte é o endereço real do site. Eu mudei para este post.

Não consigo descobrir o que isso está tentando arquivar, pois está simplesmente configurando outra variável get, que não arquivaria nada, a menos que eu esteja errado.

Você acha que devemos nos preocupar com esses pedidos?
Quais são esses pedidos tentando arquivar?
Algo que podemos fazer para detê-los?

apache-log-files

— user3363066
fonte

sobre o que é o seu site? Se não for muito sensível para ser divulgado. Além disso, você tem algum CMS ou pacote instalado nesse site?

— PatomaS 28/02

@PatomaS O site é um pouco sensível. O sistema CMS é construído internamente pelo cliente e, portanto, não deve gerar algo assim. Como informações adicionais, foram encontradas mais conexões com o seguinte RK = 0 / RS = N3luhChARYe3D3ZNSAkKO3L2gXE- Portanto, ele não segue os outros logs.

— user3363066

Rs, rk ou rc é um parâmetro que seu sistema aceita / usa? Você já tinha algum produto da Microsoft antes de enfrentar a Internet?

— PatomaS

@PatomaS Não, este é um servidor Linux que nunca executou nada relacionado ao MS. Tanto quanto eu posso dizer, não há nada que deva estar usando esses parâmetros, pelo menos não a partir de uma interface da web.

— user3363066

Então deve ficar bem. Ainda assim, tente bloquear o acesso, conforme recomendado por Jhon

— PatomaS

Respostas:

Não encontrei nada relacionado a essa solicitação, portanto, se for algo malicioso, ainda não foi descoberto. Também não vejo como isso poderia ser usado para prejudicar seu site.

Dito isso, os bandidos parecem estar um passo à frente de nós. Portanto, se essa solicitação não servir a nenhum propósito útil em seu site, tentarei bloqueá-la. Mesmo que seja apenas para impedir que seus logs sejam poluídos.

Eu diria que você deve tentar bloqueá-los, se possível. As duas partes consistentes dessas solicitações são /RS=e, ADAA6U_G38x_VuWqDIVQJpBbDUsUW0portanto, podem ser o que você focaliza para bloqueá-las.

— John Conde
fonte

apenas um pouco de opinião. Eu acho que eles estão tentando atacar um software específico que está usando um parâmetro para um regex. Pode estar apenas testando a existência. A ideia surgiu porque o% 5e é a versão codificada de '^'. Além disso, ter um '-' no final da sequência pode fazer com que apenas gere um intervalo na regex. Obviamente, não conhecendo o regex, não sabemos se isso é relevante ou não.

— PatomaS

Aqui está outra opinião. graphicline.co.za/articles/added-uri-string-rsada

— cayerdis

Eles vêm de raspadores da Web incorretamente usando o Yahoo! Resultado da pesquisa . Essa descoberta foi feita por @tenants no fórum XenForo . Eles explicam mais as implicações de receber esses pedidos e como eles os tratam.

1. Você acha que devemos nos preocupar com esses pedidos?

Você não precisa se preocupar com esses pedidos. Eles são apenas marcas de bots idiotas e bots idiotas que vagam pela Internet. Essas solicitações não devem ser identificadas como maliciosas apenas com base na URL, elas provavelmente são inocentes.

2. O que essas solicitações estão tentando arquivar?

Eles estão tentando obter o conteúdo da página solicitada. Eles não têm efeito especial, são produtos (indesejados) de um Yahoo! Pesquisa raspagem.

3. Algo que podemos fazer para detê-los?

Na verdade, ninguém é livre para postar na Internet os pedidos que quiser . (Pelo menos tecnicamente. Aspectos sociais e legais deixados de lado.)

Você pode jogá-los fora ao gerar relatórios a partir de seus logs. Esta é a opção que eu escolhi.
Ou você pode tentar corrigir os pedidos com êxito e não gerar entradas de log . Provavelmente é isso que mais faço com o que vi na web. Eu vejo uma falha nessa abordagem. Ao melhorar a experiência do visitante, eles esquecem quem são esses visitantes. Bots mudos. Não quero bots burros nos meus sites, para não me incomodar em melhorar a experiência deles.

Se você deseja corrigir os pedidos, pode fazê-lo usando reescrever mod, possivelmente chamado de .htaccess, por exemplo, usando o código da postagem do fórum do XenForo que mencionei acima:

RewriteEngine On

# strange behaving bots, these are urls scraped from yahoo (botters scrapping for links, yahoo search link contain RK RS) tenants modification:
RewriteRule ^(.*)RK=0/RS= /$1 [L,NC,R=301]
RewriteRule ^(.*)RS=^ /$1 [L,NC,R=301]

Você pode ter que mexer um pouco com as expressões regulares, por exemplo, adicione uma barra adicional após o (.*)caso seus URLs não terminem com uma.

Relacionado

relatório original da natureza ou dos pedidos no fórum XenForo
RewriteRule para .html / RK = 0 / RS = [random_string] @ Stack Overflow
A regra de reescrita .htaccess remove tudo após RK = 0 / RS = @ Stack Overflow
IT Q: ".. // RK = 0 / RS = foo-" em URI @ The Blackboard (Rankexploits.com)
Logs do servidor da Web contendo RS = ^? @ Blog do Diário de Manipuladores da InfoSec (não muito interessante)
Adicionado URI String RS = ^ ADA @ Graphicline (não muito interessante)

Parabéns à resposta de @ dman no Stack Overflow e ao comentário do @webaware nesta pergunta por encontrar a postagem no fórum do XenForo.

— Palec
fonte