有人见过这些吗?不确定这是否与我们网站上运行的 Google Analytics 或 UserFly 有关,或者表明用户机器受到了自动攻击。
这些请求来自具有所有用户代理字符串的用户、发出合法请求的用户和受信任的用户。我已在 mod_rewrite 规则中匹配该字符串以返回“forbidden”,但我想知道这些请求来自哪里。这些请求一波一波地涌来,一周或更长时间内没有请求,一天内会有很多请求。
这些请求针对的是网站上的许多随机页面,然后附加了这个奇怪的查询字符串,该查询字符串各不相同,但总是看起来像这样:
"GET /&data=%7C%23ujnftubnq%23%3B2392714553497-%23fwfout%23%3B%5C%5E-%23efubjmt%23%3B%5C%5E-%23ujnft%23%3B%5C%5E~ HTTP/1.1"
答案1
这(在这一点上)在某种程度上是一个有根据的推测(呃,科学的狂野@SS猜测),但情况如下:
某些内容正在寻找或定位 PDF
以下是上述示例中的 URL 解码查询字符串:
/&data=|#ujnftubnq#;2392714553497-#fwfout#;\^-#efubjmt#;\^-#ujnft#;\^~
谷歌搜索“fwfout”,“efubjmt”或者“ujnft”返回的唯一结果是 PDF。
如果不了解您的环境,很难判断“某些东西”是否是恶意的。它可能是试图在您网站上的 PDF 内容中进行搜索的东西。考虑到最近的 Acrobat 漏洞,它可能是试图寻找可以利用的东西。
我也同意关于管道怀疑的说法,除非我自己输入那个字符,否则它总是让我抽搐。
答案2
你的服务器上有什么东西?
对于#ujnftubnq# #efubjmt# google 返回了一些关于某些路由器资源预留的中文信息。不知道是否相关 :> 只是一条通知。
答案3
这听起来有点像僵尸网络试图联系您以获取命令和控制,尤其是使用 wave。要么是僵尸网络的感染尝试。如果您对其中一个客户端足够了解,最好尝试从 URL 的某个来源收集更多信息。数据包转储以查看它是否正在联系其他站点,另外只需检查一下正在联系哪个进程。