Mục nhập kỳ lạ trong nhật ký truy cập có chứa / RS =

Gần đây tôi đã ra mắt trang web của khách hàng và trong vài ngày qua và với tần suất ngày càng tăng, tôi thấy các mục lạ trong nhật ký truy cập.

[28/Feb/2014:06:26:53 +0800] "GET //RS=^ADAA6U_G38x_VuWqDIVQJpBbDUsUW0- HTTP/1.1" 302 630 "http://www.domain.com.au/" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.116 Safari/537.36"]

và

[28/Feb/2014:06:26:54 +0800] "GET /RS=%5eADAA6U_G38x_VuWqDIVQJpBbDUsUW0- HTTP/1.1" 404 8291 "http://www.domain.com.au/" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.116 Safari/537.36"

Một domain.com.auphần là địa chỉ thực tế của trang web. Tôi đã thay đổi nó cho bài viết này.

Tôi không thể tìm ra cái này đang cố lưu trữ vì nó chỉ đơn giản là đặt một biến get khác, nó sẽ không lưu trữ bất cứ thứ gì, trừ khi tôi sai.

Bạn có nghĩ rằng chúng ta nên quan tâm đến những yêu cầu này?
Những yêu cầu này đang cố gắng để lưu trữ là gì?
Bất cứ điều gì chúng ta có thể làm để ngăn chặn chúng?

apache-log-files

— người dùng3363066
nguồn

trang web của bạn là gì? Nếu nó không quá nhạy cảm để được tiết lộ. Ngoài ra, bạn có cài đặt CMS hoặc gói nào trên trang web đó không?

— PatomaS

@PatomaS Trang web hơi nhạy cảm. Hệ thống CMS là khách hàng được xây dựng trong nhà vì vậy không nên tạo ra bất cứ thứ gì như thế này. Vì thông tin bổ sung đã thấy thêm một số kết nối với RK = 0 / RS = N3luhChARYe3D3ZNSAkKO3L2gXE- Vì vậy, nó không tuân theo các nhật ký khác.

— dùng3363066

Là rs, rk hoặc RC là một tham số mà hệ thống của bạn chấp nhận / sử dụng? Bạn đã có sản phẩm nào của Microsoft trước khi đối mặt với Internet chưa?

— PatomaS

@PatomaS Không, đây là máy chủ Linux chưa bao giờ chạy bất cứ thứ gì liên quan đến MS. Theo như tôi có thể nói là không có bất cứ thứ gì nên sử dụng tham số đó, ít nhất là không phải từ giao diện web.

— dùng3363066

Sau đó sẽ ổn thôi. Tuy nhiên, hãy thử chặn quyền truy cập theo khuyến nghị của Jhon

— PatomaS

Câu trả lời:

Tôi không thể tìm thấy bất cứ điều gì liên quan đến yêu cầu đó vì vậy nếu nó là bất cứ điều gì độc hại thì nó vẫn chưa được đưa ra ánh sáng. Tôi cũng không thấy làm thế nào nó có thể được sử dụng để làm hại trang web của bạn.

Phải nói rằng, những kẻ xấu dường như đi trước chúng ta một bước nên nếu yêu cầu này không phục vụ bất kỳ mục đích hữu ích nào trên trang web của bạn, tôi sẽ cố gắng chặn nó. Ngay cả khi chỉ để giữ nhật ký của bạn khỏi bị ô nhiễm.

Tôi sẽ nói bạn nên cố gắng chặn chúng nếu có thể. Hai phần nhất quán của những yêu cầu đó là /RS=và ADAA6U_G38x_VuWqDIVQJpBbDUsUW0vì vậy chúng có thể là những gì bạn tập trung vào để chặn chúng.

— John Conde
nguồn

chỉ là một ý kiến nhỏ Tôi nghĩ rằng họ đang cố gắng tấn công một phần mềm cụ thể đang lấy tham số cho regex. Có thể chỉ là thử nghiệm sự tồn tại. Ý tưởng được đưa ra bởi vì% 5e là phiên bản được mã hóa của '^'. Ngoài ra, có một '-' ở cuối chuỗi, có thể làm cho nó chỉ tạo ra một phạm vi trên biểu thức chính quy. Tất nhiên, không biết regex, chúng tôi không biết điều đó có liên quan hay không.

— PatomaS

Đây là một ý kiến khác. Graphicsline.co.za/articles/added-uri-opes-rsada

— cayerdis

Họ đến từ những người dọn dẹp web sử dụng Yahoo! Kết quả tìm kiếm . Khám phá này được thực hiện bởi @tenants tại diễn đàn XenForo . Họ giải thích thêm về ý nghĩa của việc nhận các yêu cầu này và cách họ xử lý chúng.

1. Bạn có nghĩ rằng chúng ta nên quan tâm đến những yêu cầu này?

Bạn không cần phải quan tâm đến những yêu cầu này. Chúng chỉ là dấu hiệu của bot câm và bot câm lang thang trên Internet. Các yêu cầu này không được xác định là độc hại chỉ dựa trên URL, chúng có thể vô tội.

2. Những yêu cầu này đang cố gắng lưu trữ là gì?

Họ đang cố gắng để có được nội dung của trang họ đang yêu cầu. Chúng không có tác dụng đặc biệt, chúng là những sản phẩm (không mong muốn) của Yahoo! Tìm kiếm cào.

3. Bất cứ điều gì chúng ta có thể làm để ngăn chặn chúng?

Không thực sự, bất cứ ai cũng có thể tự do đăng bất cứ yêu cầu nào họ thích lên mạng . (Ít nhất là về mặt kỹ thuật. Các khía cạnh xã hội và pháp lý được đặt sang một bên.)

Bạn có thể vứt chúng đi khi tạo báo cáo từ nhật ký của bạn. Đây là tùy chọn tôi đã chọn.
Hoặc bạn có thể cố gắng sửa các yêu cầu để thành công và không tạo các mục nhật ký . Đây có lẽ là những gì hầu hết làm từ những gì tôi thấy trên web. Tôi thấy một lỗ hổng trong phương pháp này. Trong khi làm cho trải nghiệm của khách truy cập tốt hơn, họ quên mất những khách truy cập đó là ai. Bot câm. Tôi không muốn các bot ngu ngốc trên các trang web của mình vì vậy tôi sẽ không bận tâm để cải thiện trải nghiệm của họ.

Nếu bạn muốn sửa các yêu cầu, bạn có thể thực hiện bằng cách sử dụng mod viết lại , có thể được gọi từ .htaccess , ví dụ: sử dụng mã từ bài đăng trên diễn đàn XenForo tôi đã đề cập ở trên:

RewriteEngine On

# strange behaving bots, these are urls scraped from yahoo (botters scrapping for links, yahoo search link contain RK RS) tenants modification:
RewriteRule ^(.*)RK=0/RS= /$1 [L,NC,R=301]
RewriteRule ^(.*)RS=^ /$1 [L,NC,R=301]

Bạn có thể phải nghịch ngợm với các biểu thức chính một chút, ví dụ: thêm một dấu gạch chéo sau khi (.*)URL của bạn không kết thúc bằng một.

Liên quan

báo cáo gốc về bản chất hoặc các yêu cầu @ diễn đàn XenForo
RewriteRule cho .html / RK = 0 / RS = [Random_ chuỗi] @ Tràn ngăn xếp
Quy tắc viết lại .htaccess xóa mọi thứ sau RK = 0 / RS = @ Stack Overflow
CNTT Q: Lít .. // RK = 0 / RS = foo- rê trong URI @ Bảng đen (Rankexploits.com)
Nhật ký máy chủ web có chứa RS = ^? @ Nhật ký xử lý Blog Nhật ký (không thú vị lắm)
Đã thêm Chuỗi URI RS = ^ ADA @ Graphicline (không thú vị lắm)

Câu trả lời của Kudos cho @ dman về Stack Overflow và bình luận của @webwar , theo câu hỏi này để tìm bài đăng trên diễn đàn XenForo.

— Palec
nguồn