web-dev-qa-db-ja.com

(200 ok)承認済み-これはハッキングの試みですか?

これはある種のハッキングの試みだと思います。 グーグルしようとしました しかし、私が得るのは、すでに悪用されているように見えるサイトだけです。

私のページの1つに次のようなリクエストが表示されています。

/listMessages.asp?page=8&catid=5+%28200+ok%29+ACCEPTED

'(200 ok)ACCEPTED'は奇妙なことです。しかし、それは何もしていないようです。

IIS 5およびASP 3.0で実行しています。この「ハック」は他の種類のWebサーバーを対象としていますか?

編集:

通常のリクエストは次のようになります。

/listMessages.asp?page=8&catid=5
6
Byran Zaugg

私はそれらのエントリveryが面白いと思います(そして良い方法ではありません)。

/listMessages.asp?page=8&catid=5+%28200+ok%29+ACCEPTED

プログラムの観点からのこれの基本的な内訳は、次の変数を与えます:

page = 8
catid = "5 " + chr(28) + "200 ok" + chr(29) + " ACCEPTED"

catid変数がここで破損しています。 ASCIIコード28はファイルセパレーター、コード29はグループセパレーターです。

可能であれば、catid変数の処理をチェックし、プログラムが正しく処理する(そして拒否する)場合は無視します。

2
Mei
  1. ログが間違っている可能性があります。 URL内の回答の一部のように見えます。 IISログに表示される場合は、パケットスニファを使用してリクエストURLを監視し、実際にそのようなものであることを確認してください。
  2. 一部のスクリプトが不正な形式のURLを取得する可能性があります。 ASPサイトのバグである可能性があります。

一般に、バグのように見えるように作成された、非常に特殊な、または特別に細工されたクラックの試みのように見えるかもしれませんが、そうではないと思います。また、このユーザーからの以前のリクエストと今後のリクエストを分析する必要があります。他に疑わしいことがなく、別の場所から発生することがある場合、それはバグであり、クラックの試みではありません。

2
Vi.

すべてのリクエストは1つのIP範囲から送信されていますか?パケットキャプチャを実行して、完全なリクエストヘッダーがどのように見えるかを確認しましたか?

2
Josh

ここでもイースターの間にいくつかの試みがあります。

/ +%28200 + ok%29 + ACCEPTED

(200 ok)承認済み

これはサーバーに対するランダムチェックのようです。

IPはStopforumspamのデータベースにあります。

http://www.stopforumspam.com/

2
admin

グーグルで唯一価値のある結果はこれです、それで...

私が管理しているIIS 6(Server 2003)サイト)にこれが表示されました。この特定のケースでは、ColdFusionページ(ホームページを含むサイト全体で使用される基本的なテンプレートファイル)にアクセスします。 )、URIステムの末尾に追加するだけです(クエリ文字列なし)。

いくつかの異なるIPからの同じリクエストで、次のユーザーエージェントが共通しています。

Mozilla/3.0 (x86 [en] Windows NT 5.1; Sun)

リファラー情報が渡されませんでした。 2分間で21のリクエストがあり、固有のIPは6つ強です。 IPのために返送された国には、米国、ボスニア、マレーシアなどが含まれます。

2
James Skemp

コメントするのに十分な権限がありませんが、ブラウザの文字列を使用してこれも取得します。

User agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322; Alexa Toolbar; (R1 1.5))
IP address: 94.45.33.18

これはApacheサーバーに対するものです。頻度が低すぎて、404エラーをスローすることを除いて、考えられるHTTPサーバーで問題が発生しないため、攻撃ではないと思います。

1
Adam Nelson

Classic ASP on IIS 7。を実行しているサイトで同じ種類のリクエストを受け取っています。トレースしているIPアドレスはすべてスパマーから発信されています。また、彼らが何をしようとしているのかわからず、404エラーで私たちを悩ませる以外にサイトに悪影響を与えることはありません。

200 OK Acceptedの場合、これはHTTPステータスコードです: http://www.w3.org/Protocols/rfc2616/rfc2616-sec10.html

1
C K

簡単に言えば、そうかもしれません。しかし、あなたが私たちに提供する情報を考えると、私はノーと言うでしょう。より多くのログが答えを変える可能性があります。

0
tore-