以前见过这些人吗? 不确定这是否与我们网站上运行的Google Analytics(分析)或UserFly相关,或者是来自用户计算机的自动攻击。
请求来自具有所有用户代理string的用户,以及来自合法请求的用户和来自可信用户的用户。 我匹配的mod_rewrite规则中的string返回“禁止”,但我想知道这些来自哪里。 它们在一天之内波澜不惊,一星期甚至更长时间,比一天的许多请求还要多。
请求是在网站上的许多随机页面,然后有这个奇怪的查询string附加,这不尽相同,但总是看起来像这样:
"GET /&data=%7C%23ujnftubnq%23%3B2392714553497-%23fwfout%23%3B%5C%5E-%23efubjmt%23%3B%5C%5E-%23ujnft%23%3B%5C%5E~ HTTP/1.1" 这是(在这一点上)有点受过教育的猜测(呃,科学野@SS猜),但是这里有:
有些东西正在寻找或定位PDF的
以上是您上例中的URL解码查询string:
/&data=|#ujnftubnq#;2392714553497-#fwfout#;\^-#efubjmt#;\^-#ujnft#;\^~
search“fwfout” , “efubjmt”或“ujnft”的唯一结果是PDF。
不知道更多关于你的环境的信息,如果这个“某些东西”是恶意的,这很难说。 这可能是尝试在您的网站上的PDF内容search的东西。 考虑到最近的Acrobat漏洞,这可能是一些试图find可以利用的东西。
我也同意关于pipe道的怀疑,那个angular色总是让我抽搐,除非我自己input。
你的服务器上有什么types的东西?
对于#ujnftubnq##efubjmt#google在一些路由器上返回了一些有关资源预留的中文信息。 不知道是否相关:>只是一个通知。
这听起来有点像它可能是一个僵尸networking试图联系你的指挥和控制,尤其是与波。 无论是感染还是僵尸networking的感染企图。 如果您足够了解其中一个客户,那么尝试从url的其中一个来源收集更多信息会更好。 数据包转储,看看是否联系其他网站,再加上一个检查,看看什么过程正在做联系。