サーバーへの異常なgetリクエストを取得しています:_/op69okl?name=http://www.ntdtv.com/
_または_/op69okl?name=http://www.epochtimes.com/
_またはparamの他のサイトと同様のもの_op69okl
_を検索すると、ポルノアカウントのユーザー名のように見えます。
この質問に対する私の関心を明確にするために、私はソフトウェア開発者ですが、最近リバースエンジニアリングを行い、マルウェアについてさらに学び始めました。だから私はまだこれを体系的に取り組むにはあまりにも初心者です。
リクエストは中国のIPアドレスから送信されます。ほとんどすべてのIPは異なり、めったに繰り返されません。 IPは非常に異なるため、ボットであると信じるようになります。彼らは脆弱性を調査し、特定の応答を期待している可能性があります。私の場合、私のサーバー(一般的なフレームワークを実行していない)は404をこのリクエストに返さず、デフォルトのページに転送します。それがボットが私のIPを試し続ける理由なのでしょうか?
私はこれをさらに調査する方法に興味があります。私は現在、マルウェアをキャッチする方法を学んでいます。私は、着信要求のIPアドレスをマッピングし、それらがどこから来たのか、およびその頻度(3日前に開始された、それほど頻繁ではない)についてより多くの洞察を得るための最初のステップとして考えています。次に、新しいサーバーをセットアップして、同じリクエストをもう一度「キャッチ」できるかどうかを確認します。 WordPressまたは他の一般的なフレームワークはこれで問題なく動作すると思います。
これを調査するために他に何ができますか?私はこれを実際の学習機会と捉えています。
追伸ボットがこのように_?name=
_を渡しているのはなぜでしょうか。見つけたいと思います。
この答え:
それは人々がブロックされたサイトに出て行くことを可能にするゲートウェイを探して、それが中国の偉大なファイアウォールからのプローブであることを示唆しています。経験的に確認することはできませんが、それらのドメインがそのカテゴリに当てはまることはもっともらしいようです。
これらのドメインのコンテンツを返して、ロボットがそれに応じて何をするかを確認するのは興味深いかもしれません。