我认为这是一些types的黑客攻击。 我试图谷歌它,但我得到的网站看起来像他们已经被利用。
我看到了一个看起来像这样的页面的请求。
/listMessages.asp?page=8&catid=5+%28200+ok%29+ACCEPTED “(200 OK)ACCEPTED”是奇怪的。 但它似乎没有做任何事情。
我在IIS 5和ASP 3.0上运行。 这是“黑客”意味着一些其他types的Web服务器?
编辑:
普通的请求看起来像:
/listMessages.asp?page=8&catid=5
一般来说,它可能看起来像是非常具体或特制的破解企图,看起来像一个错误,但我想它不是。 您还应该分析此用户以前和更多的请求。 如果有时候发生在不同地方,没有其他可疑的东西,那就是一个错误,而不是破解企图。
所有的请求都来自一个IP范围吗? 您是否尝试过运行数据包捕获来查看完整的请求头文件的样子?
在Google上只有值得的结果是,所以…
刚刚在我pipe理的IIS 6(Server 2003)站点上显示。 在这种特殊情况下,点击一个ColdFusion页面(包括主页在内的整个站点使用的基本模板文件),并将其粘贴到URI的末尾(无查询string)。
相同的请求,来自许多不同的IP地址,其中包含以下常见的用户代理:
Mozilla/3.0 (x86 [en] Windows NT 5.1; Sun)
没有引荐者信息通过。 超过2分钟的21个请求,有一半以上的独特IP地址。 返回知识产权的国家包括美国,波斯尼亚,马来西亚等。
我发现这些条目非常有趣(而且不是很好)。
/listMessages.asp?page=8&catid=5+%28200+ok%29+ACCEPTED
从程序的angular度来看,这个基本的分解给出了以下variables:
page = 8 catid = "5 " + chr(28) + "200 ok" + chr(29) + " ACCEPTED"
catidvariables在这里被破坏。 ASCII代码28是文件分隔符,代码29是组分隔符。
如果可能的话,我会检查catidvariables的处理,否则忽略它,如果程序正确处理(并拒绝它)。
复活节期间,这里也有几次尝试。
/ +%28200 + OK%29 + ACCEPTED
(200 OK)接受
这似乎是对服务器的随机检查。
IP可以在Stopforumspam的数据库中find。
我在IIS 7上运行传统ASP的网站上收到了同样的请求。我所追踪的IP地址都来自垃圾邮件发送者。 我也不知道他们在做什么,也不会对网站造成不利影响,除了给我们带来404错误。
至于200 OK接受,这是一个HTTP状态代码: http : //www.w3.org/Protocols/rfc2616/rfc2616-sec10.html
我没有足够的权限进行评论,但是我也可以通过浏览器string来获得:
User agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322; Alexa Toolbar; (R1 1.5)) IP address: 94.45.33.18
这是针对Apache服务器的。 我不认为这是一个攻击,因为它是非常罕见的,除了抛出404错误,它不会导致任何我能想到的HTTP服务器上的问题。
简短的回答,可能是。 但鉴于你给我们的信息,我会说不。 更多的日志可以改变答案。