我认为这是某种类型的黑客攻击。我尝试用谷歌搜索但我得到的网站看上去好像已经被利用了。
我看到对我的某个页面的请求如下所示。
/listMessages.asp?page=8&catid=5+%28200+ok%29+ACCEPTED
'(200 ok) ACCEPTED' 很奇怪。但它似乎什么也没做。
我在 IIS 5 和 ASP 3.0 上运行。这个“黑客”是否适用于其他类型的 Web 服务器?
编辑:
正常请求如下:
/listMessages.asp?page=8&catid=5
答案1
- 日志可能有误。它看起来像是 URL 中答案的某个部分。如果它出现在 IIS 日志中,请尝试使用数据包嗅探器查看请求 URL,以确保它确实如此。
- 可能是某些脚本获取了格式错误的 URL,例如,可能是您的 ASP 网站中存在错误。
一般来说,它可能看起来像是高度特定或特制的破解尝试,看起来像是一个错误,但我认为它不是。您还应该分析此用户的先前和后续请求。如果它有时在不同的地方发生而没有其他可疑的东西,那么它就是一个错误,而不是破解尝试。
答案2
所有请求都来自同一个 IP 范围吗?您是否尝试过运行数据包捕获来查看完整的请求标头?
答案3
Google 上唯一有价值的结果就是这个,所以......
刚刚在我管理的 IIS 6 (Server 2003) 网站上出现了这个。在这个特定情况下,点击 ColdFusion 页面(整个网站(包括主页)使用的基本模板文件),然后将其添加到 URI 词干的末尾(无查询字符串)。
同一请求,来自多个不同的 IP,其中共同具有以下用户代理:
Mozilla/3.0 (x86 [en] Windows NT 5.1; Sun)
未传递引荐来源信息。2 分钟内有 21 个请求,有六个多一点的唯一 IP。返回的 IP 国家/地区包括美国、波斯尼亚、马来西亚等。
答案4
复活节期间这里也进行过几次尝试。
/+%28200+ok%29+已接受
(200 ok)已接受
这似乎是针对服务器的随机检查。
该 IP 可以在 Stopforumspam 的数据库中找到。