Seltsamer Eintrag im Zugriffsprotokoll mit / RS =

8

Ich habe kürzlich eine Client-Site gestartet und in den letzten Tagen sehe ich mit zunehmender Häufigkeit seltsame Einträge im Zugriffsprotokoll.

[28/Feb/2014:06:26:53 +0800] "GET //RS=^ADAA6U_G38x_VuWqDIVQJpBbDUsUW0- HTTP/1.1" 302 630 "http://www.domain.com.au/" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.116 Safari/537.36"]

und

[28/Feb/2014:06:26:54 +0800] "GET /RS=%5eADAA6U_G38x_VuWqDIVQJpBbDUsUW0- HTTP/1.1" 404 8291 "http://www.domain.com.au/" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.116 Safari/537.36"

Der domain.com.auTeil ist die tatsächliche Adresse der Website. Ich habe es für diesen Beitrag geändert.

Ich kann nicht herausfinden, was dies zu erreichen versucht, da es einfach eine andere get-Variable setzt, die nichts erreichen würde, es sei denn, ich liege falsch.

  1. Denken Sie, wir sollten uns mit diesen Anfragen befassen?
  2. Was versuchen diese Anfragen zu erreichen?
  3. Können wir etwas tun, um sie aufzuhalten?
apache-log-files user3363066
quelle
Worum geht es auf Ihrer Website? Wenn es nicht zu empfindlich ist, um offengelegt zu werden. Haben Sie auf dieser Site ein CMS oder Paket installiert?
PatomaS
@PatomaS Die Seite ist etwas sensibel. Das CMS-System ist vom Kunden selbst gebaut und sollte daher nicht so etwas generieren. Als zusätzliche Informationen wurden einige weitere Verbindungen mit den folgenden Protokollen gesehen: RK = 0 / RS = N3luhChARYe3D3ZNSAkKO3L2gXE- Es folgt also nicht den anderen Protokollen.
user3363066
Ist rs, rk oder rc ein Parameter, den Ihr System akzeptiert / verwendet? Hatten Sie schon einmal ein Microsoft-Produkt, bevor Sie sich dem Internet stellten?
PatomaS
@PatomaS Nein, dies ist ein Linux-Server, auf dem noch nie etwas mit MS zu tun hat. Soweit ich das beurteilen kann, gibt es nichts, was diese Parameter verwenden sollte, zumindest nicht über eine Weboberfläche.
user3363066
Dann sollte es gut sein. Versuchen Sie dennoch, den Zugriff zu blockieren, wie von Jhon
PatomaS

Antworten:

5

Ich konnte nichts im Zusammenhang mit dieser Anfrage finden. Wenn es sich also um etwas Bösartiges handelt, ist es noch nicht bekannt geworden. Ich sehe auch nicht ein, wie es verwendet werden könnte, um Ihre Website zu beschädigen.

Trotzdem scheinen die Bösen uns einen Schritt voraus zu sein. Wenn diese Anfrage auf Ihrer Website keinen nützlichen Zweck erfüllt, würde ich versuchen, sie zu blockieren. Auch wenn nur, um zu verhindern, dass Ihre Protokolle verschmutzt werden.

Ich würde sagen, Sie sollten versuchen, sie nach Möglichkeit zu blockieren. Die beiden konsistenten Teile dieser Anforderung sind /RS=und ADAA6U_G38x_VuWqDIVQJpBbDUsUW0daher können sie das sein, worauf Sie sich konzentrieren, um sie zu blockieren.

John Conde
quelle
nur eine kleine meinung. Ich denke, sie versuchen, eine bestimmte Software anzugreifen, die einen Parameter für einen regulären Ausdruck verwendet. Kann nur die Existenz testen. Die Idee kam, weil% 5e die codierte Version von '^' ist. Wenn Sie am Ende des Strings ein '-' haben, wird möglicherweise nur ein Bereich auf der Regex generiert. Da wir den regulären Ausdruck nicht kennen, wissen wir natürlich nicht, ob dies relevant ist oder nicht.
Patomas
1
Hier ist es eine andere Meinung. graphline.co.za/articles/added-uri-string-rsada
cayerdis
3

Sie stammen von Web-Scrapern , die Yahoo! Suchergebnis . Diese Entdeckung wurde von @tenants im XenForo-Forum gemacht . Sie erklären mehr über die Auswirkungen des Empfangs dieser Anfragen und wie sie damit umgehen.

1. Denken Sie, wir sollten uns mit diesen Anfragen befassen?

Sie müssen sich nicht mit diesen Anfragen befassen. Sie sind nur Markenzeichen von dummen Bots und dumme Bots wandern im ganzen Internet herum. Diese Anfragen sind nicht nur aufgrund der URL als bösartig zu identifizieren, sie sind wahrscheinlich unschuldig.

2. Was versuchen diese Anfragen zu erreichen?

Sie versuchen, den Inhalt der Seite abzurufen, die sie anfordern. Sie haben keine besondere Wirkung, sie sind (unerwünschte) Produkte eines Yahoo! Scraping suchen.

3. Können wir etwas tun, um sie aufzuhalten?

Nicht wirklich, jeder kann beliebige Anfragen ins Internet stellen . (Zumindest technisch. Soziale und rechtliche Aspekte werden beiseite gelegt.)

  1. Sie können sie wegwerfen, wenn Sie Berichte aus Ihren Protokollen erstellen. Dies ist die Option, die ich gewählt habe.

  2. Oder Sie können versuchen, die Anforderungen zu korrigieren, um erfolgreich zu sein, und keine Protokolleinträge generieren . Dies ist wahrscheinlich das, was die meisten von dem machen, was ich im Web gesehen habe. Ich sehe einen Fehler in diesem Ansatz. Während sie die Erfahrung ihrer Besucher verbessern, vergessen sie, wer diese Besucher sind. Dumme Bots. Ich möchte keine dummen Bots auf meinen Websites, daher werde ich mich nicht darum kümmern, ihre Erfahrung zu verbessern.

Wenn Sie die Anforderungen beheben möchten, können Sie dies mit mod-rewrite tun , möglicherweise aufgerufen von .htaccess , z. B. mit dem Code aus dem oben erwähnten XenForo-Forumsbeitrag:

RewriteEngine On

# strange behaving bots, these are urls scraped from yahoo (botters scrapping for links, yahoo search link contain RK RS) tenants modification:
RewriteRule ^(.*)RK=0/RS= /$1 [L,NC,R=301]
RewriteRule ^(.*)RS=^ /$1 [L,NC,R=301]

Möglicherweise müssen Sie ein wenig mit den regulären Ausdrücken herumspielen, z. B. nach dem, (.*)wenn Ihre URLs nicht mit einem enden , einen zusätzlichen Schrägstrich hinzufügen .

 verbunden

Ein großes Lob an die Antwort von @ dman zu Stack Overflow und den Kommentar von @webaware unter dieser Frage zum Auffinden des XenForo-Forumsbeitrags.

Palec
quelle