Strana voce nel registro di accesso contenente / RS =

Ho recentemente lanciato il sito di un cliente e negli ultimi giorni e con crescente frequenza vedo strane voci nel registro di accesso.

[28/Feb/2014:06:26:53 +0800] "GET //RS=^ADAA6U_G38x_VuWqDIVQJpBbDUsUW0- HTTP/1.1" 302 630 "http://www.domain.com.au/" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.116 Safari/537.36"]

[28/Feb/2014:06:26:54 +0800] "GET /RS=%5eADAA6U_G38x_VuWqDIVQJpBbDUsUW0- HTTP/1.1" 404 8291 "http://www.domain.com.au/" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.116 Safari/537.36"

La domain.com.auparte è l'indirizzo effettivo del sito Web. L'ho cambiato per questo post.

Non riesco a capire cosa stia cercando di archiviare poiché sta semplicemente impostando un'altra variabile get, che non archivia nulla, a meno che non mi sbagli.

Pensi che dovremmo preoccuparci di queste richieste?
Quali sono queste richieste che cercano di archiviare?
Qualcosa che possiamo fare per fermarli?

apache-log-files

— user3363066
fonte

di cosa parla il tuo sito? Se non è troppo sensibile per essere divulgato. Inoltre hai qualche CMS o pacchetto installato su quel sito?

— PatomaS,

@PatomaS Il sito è un po 'sensibile. Il sistema CMS è costruito internamente dal cliente, quindi non dovrebbe generare nulla del genere. Poiché ulteriori informazioni hanno visto altre connessioni con il seguente RK = 0 / RS = N3luhChARYe3D3ZNSAkKO3L2gXE- Quindi non segue gli altri log.

— user3363066,

Rs, rk o rc è un parametro che il sistema accetta / utilizza? Avevi qualche prodotto Microsoft prima di affrontare Internet prima?

— PatomaS,

@PatomaS No, questo è un server Linux che non ha mai eseguito nulla correlato alla SM. Per quanto ne so non c'è nulla che dovrebbe usare quei parametri, almeno non da un'interfaccia web.

— user3363066,

Quindi dovrebbe andare bene. Tuttavia, prova a bloccare l'accesso come raccomandato da Jhon

— PatomaS,

Risposte:

Non sono riuscito a trovare nulla di correlato a tale richiesta, quindi se è qualcosa di dannoso non è ancora emerso. Inoltre non vedo come potrebbe essere utilizzato per danneggiare il tuo sito.

Detto questo, i cattivi sembrano essere un passo avanti a noi, quindi se questa richiesta non ha alcuno scopo utile sul tuo sito, proverei a bloccarlo. Anche se solo per evitare che i tuoi tronchi vengano inquinati.

Direi che dovresti tentare di bloccarli, se possibile. Le due parti coerenti di tali richieste sono /RS=e ADAA6U_G38x_VuWqDIVQJpBbDUsUW0quindi possono essere ciò su cui ti concentri per bloccarle.

— John Conde
fonte

solo un piccolo parere. Penso che stiano cercando di attaccare un software specifico che sta prendendo un parametro per una regex. Potrebbe essere solo testare l'esistenza. L'idea è nata perché% 5e è la versione codificata di '^'. Inoltre, avendo un '-' alla fine della stringa, puoi farlo generare un intervallo sulla regex. Naturalmente, non conoscendo la regex, non sappiamo se sia rilevante o meno.

— PatomaS,

Ecco un'altra opinione. graphicline.co.za/articles/added-uri-string-rsada

— cayerdis

Provengono erroneamente da web scraper che utilizzano Yahoo! Cerca risultato. Questa scoperta è stata fatta da @tenants nel forum XenForo . Spiegano di più sulle implicazioni della ricezione di queste richieste e su come gestirle.

1. Pensi che dovremmo occuparci di queste richieste?

Non devi preoccuparti di queste richieste. Sono solo segni distintivi di robot stupidi e robot stupidi vagano su Internet. Queste richieste non devono essere identificate come dannose solo in base all'URL, ma sono probabilmente innocenti.

2. Quali sono queste richieste che cercano di archiviare?

Stanno cercando di ottenere i contenuti della pagina che stanno richiedendo. Non hanno alcun effetto speciale, sono prodotti (indesiderati) di un account Yahoo! Cerca raschiando.

3. Qualcosa che possiamo fare per fermarli?

Non proprio, chiunque è libero di pubblicare qualsiasi richiesta desideri in rete . (Almeno tecnicamente. Aspetti sociali e legali messi da parte.)

Puoi buttarli via quando generi rapporti dai tuoi registri. Questa è l'opzione che ho scelto.
Oppure puoi provare a correggere le richieste per avere successo e non generare voci di registro . Questo è probabilmente ciò che la maggior parte fa da ciò che ho visto sul web. Vedo un difetto in questo approccio. Mentre migliorano l'esperienza dei loro visitatori, dimenticano chi sono quei visitatori. Bot stupidi. Non voglio robot stupidi sui miei siti, quindi non mi preoccuperò di migliorare la loro esperienza.

Se vuoi correggere le richieste, puoi farlo usando mod-rewrite, eventualmente chiamato da .htaccess, ad esempio utilizzando il codice dal post del forum XenForo che ho menzionato sopra:

RewriteEngine On

# strange behaving bots, these are urls scraped from yahoo (botters scrapping for links, yahoo search link contain RK RS) tenants modification:
RewriteRule ^(.*)RK=0/RS= /$1 [L,NC,R=301]
RewriteRule ^(.*)RS=^ /$1 [L,NC,R=301]

Potrebbe essere necessario giocherellare un po 'con le regex, ad esempio aggiungere una barra dopo il (.*)se gli URL non finiscono con uno.

Relazionato

rapporto originale della natura o delle richieste al forum XenForo
RewriteRule per .html / RK = 0 / RS = [random_string] @ Stack Overflow
La regola di riscrittura .htaccess rimuove tutto dopo RK = 0 / RS = @ Stack Overflow
IT Q: ".. // RK = 0 / RS = foo-" in URI @ The Blackboard (Rankexploits.com)
Log del server Web contenenti RS = ^? @ Blog del diario dei gestori di InfoSec (non molto interessante)
Aggiunta stringa URI RS = ^ ADA @ Graphicline (non molto interessante)

Complimenti per la risposta di @ dman su Stack Overflow e il commento di @webaware sotto questa domanda per trovare il post sul forum XenForo.

— Palec
fonte