每天早上,我都会监控访问日志以过滤掉机器人和恶意入侵尝试。我不断注意到这种类型的日志。
示例输出(网站和 IP 地址被隐藏):
8232 xxx.xxx.xx.xx - - [11/Oct/2018:04:14:11 -0500] <thewebsite>.com "GET /util/login.aspx HTTP/1.1" 302 0 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.11; rv:52.0) Gecko/20100101 Firefox/52.0" "-"
首先,/util/login.aspx 不存在,所以它们被重定向。这看起来不像是一个典型的爬虫,因为它们试图访问登录页面。
有人能解释一下典型的脚本小子可能会做什么吗?总是完全一样文件路径 (/util/login.aspx)。我已准备好工具来缓解这种情况,但我想知道是否有人曾经在看似典型的 ASP.NET 登录页面中看到过此类活动。我们使用 Linux 服务器。
答案1
对于反复失败的虚假请求,系统管理员的典型反应是阻止并处理它。也许将不必要的外部资源移到内部区域。
您没有的平台的登录页面显然是无效的,并且可能是漏洞利用尝试。如果您想要获得这方面的实际威胁情报,请投资您的安全组织。了解各种漏洞利用、查找 IP 信誉分数以及与最近的僵尸网络相关联是安全分析师的一些工作。