Kunden, die verstümmelte URLs anfordern

11

Ich habe einige seltsame 404s bemerkt, bei denen es sich anscheinend um einen fehlerhaften Code zum Umschreiben von URLs handelt. Unser Bildbetrachter fordert Kacheln mit folgenden URLs an:

/media/204/service/dzi/1/1_files/7/0_0.jpg

Ich sehe einige - deutlich unter <1% - Anfragen nach leicht geänderten URLs:

/media/204/s/rvice/d/i/1/1_files/7/0_0.jpg

Diese Anfragen kommen von IP-Adressen auf der ganzen Welt (USA, Kanada, China, Russland, Indien, Israel usw.), Desktop- und Mobilbenutzern mit mehreren Benutzeragenten (Chrome, IE, Firefox, Mobile Safari usw.). und es gibt oft normale Aktivitäten innerhalb derselben Sitzung von derselben IP-Adresse, daher gehe ich davon aus, dass dies entweder Malware oder ein defekter Proxy / Filter ist. Ich habe sie nur von Bildern gesehen, was darauf hindeutet, dass dies eine Art Inhaltsfilter ist.

Hat das noch jemand gesehen? Meine CDN-Protokolle zeigen die erste Anfrage am 8. Juni, die von mehreren Dutzend auf mehrere Hundert pro Tag ansteigt.

404 logging Chris Adams
quelle
1
Interessanterweise scheint sich dies in freier Wildbahn geändert zu haben. Ich sehe jetzt Dinge wie /se/vice/zi/oder /s/rvice/zi/häufiger als die /s/rvice/d/i/oben genannten.
Chris Adams
2
Wie lautet die URL der Website? und wie sieht dein htaccess aus?
Simon Hayter
Eine Beispielseite wäre wdl.org/en/item/204/zoom - in jedem normalen Browser werden diese fest codierten Pfade korrekt übergeben. Ein Beispiel, das gerade passiert ist, zeigt, dass dies auch nicht durch den Benutzeragenten beschränkt ist. Ich habe alles von IE über Chrome bis hin zum Kindle Silk Browser gesehen: "" / media / 4395 / ervice / dz / 1/1_files / 12 /8_4.jpg HTTP / 1.1 "404 3091" wdl.org/en/item/4395/zoom "" Mozilla / 5.0 (Macintosh; U; Intel Mac OS X 10_6_3; en-us; Silk / 1.0.22.153_10033210) AppleWebKit /533.16 (KHTML, wie Gecko) Version / 5.0 Safari / 533.16 Silk-Accelerated = true "
Chris Adams
@ChrisAdams Auf welchem ​​Framework oder welcher Sprache basiert Ihre Website?
Anagio
1
Für was es wert ist, habe ich ähnlich verstümmelte URLs gesehen. Ich habe keine solide Antwort, aber in meinem Fall, in dem ich sie finden konnte, wurde sie immer mit automatisch generierten "verwandten Posts aus dem Web" -Links in Verbindung gebracht.
s_ha_dum

Antworten:

1

Ich glaube, das sind DZI-Anfragen (Deep Zoom Image). Beschäftigt sich Ihre App mit Karten? Höchstwahrscheinlich Silverlight?

Sie erhalten dies, weil eines der Sammlungsbilder fehlt oder die DZI-Sammlung nicht richtig definiert ist.

http://msdn.microsoft.com/en-us/library/cc645022(v=vs.95).aspx

Danilo Kobold
quelle
1
Es handelt sich um DZI-Dateien, aber nicht, weil eine Datei fehlt - der angeforderte Dateiname ist tatsächlich falsch. In meinem obigen Beispiel habe ich die richtige Form gezeigt, die fast alle Kunden anfordern, aber in einigen Fällen führt ein nicht offensichtlicher Fehler dazu, dass ein einzelnes Zeichen um /
Chris Adams
1

Manchmal ändern Leute URLs, um zu sehen, wie Ihre Site reagiert. Ich habe dies mit mehreren Sites gemacht, auf denen ich hochauflösende Referenzbilder benötigte, und festgestellt, dass die Site die Bilder basierend auf REQUEST_URI skaliert. Manchmal (abhängig von der verwendeten Bibliothek) können Sie Dinge wie Dimensionen, Verzeichnisse und Seitenverhältnisse ändern, um Fehlermeldungen zu erhalten (um Ihnen mitzuteilen, was jemand auf seinem Server ausführt), und Sie können größere (nicht skalierte Bilder) erhalten.

Die meisten Websites, die die Bildskalierungssoftware verwenden, erhöhen die Seitenoptimierung, und die meisten Benutzer laden Bilder hoch, die nicht von ihrer ursprünglichen Digitalkamera verkleinert wurden (manchmal jetzt bis zu 24 Megapixel).

Eine andere (wahrscheinlichere) Möglichkeit

Da die IPs aus der ganzen Welt stammen, ist möglicherweise ein Problem mit der von Ihnen verwendeten Software bekannt, und sie versuchen (mithilfe eines Botnetzes), einen Exploit für eine nicht gepatchte Version auszuführen.

Absoluter Nullpunkt
quelle