/ RS =を含むアクセスログの奇妙なエントリ

8

私は最近クライアントのサイトを立ち上げましたが、ここ数日、ますます頻繁にアクセスログに奇妙なエントリが表示されています。

[28/Feb/2014:06:26:53 +0800] "GET //RS=^ADAA6U_G38x_VuWqDIVQJpBbDUsUW0- HTTP/1.1" 302 630 "http://www.domain.com.au/" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.116 Safari/537.36"]

そして

[28/Feb/2014:06:26:54 +0800] "GET /RS=%5eADAA6U_G38x_VuWqDIVQJpBbDUsUW0- HTTP/1.1" 404 8291 "http://www.domain.com.au/" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.116 Safari/537.36"

domain.com.au一部は、ウェブサイトの実際のアドレスです。この投稿のために変更しました。

これがアーカイブしようとしていることがわからないのは、別のget変数を設定しているためです。

  1. 私たちはこれらの要求に関心を持つべきだと思いますか?
  2. アーカイブしようとしているこれらの要求は何ですか?
  3. それらを止めるために私たちにできることはありますか?
apache-log-files 
ユーザー3363066
ソース
あなたのサイトは何ですか?機密性が高すぎて開示できない場合。さらに、そのサイトにCMSまたはパッケージがインストールされていますか?
PatomaS 14
@PatomaSサイトは少し敏感です。CMSシステムはお客様が社内で構築するため、このようなものは生成されません。追加情報として、次のRK = 0 / RS = N3luhChARYe3D3ZNSAkKO3L2gXE-との接続がさらに確認されたため、他のログには従いません。
user3363066 14
rs、rk、またはrcは、システムが受け入れ/使用するパラメーターですか?以前インターネットに直面する前に、Microsoft製品はありましたか?
PatomaS 2014
@PatomaSいいえ、これはMS関連の機能を実行したことのないLinuxサーバーです。私が知る限り、少なくともWebインターフェイスからではなく、これらのパラメーターを使用する必要があるものはありません。
user3363066 14
その後、それは大丈夫です。それでも、JHONによって推奨されているようにアクセスをブロックしよう
PatomaS

回答:

5

そのリクエストに関連するものは何も見つからなかったため、それが悪意のあるものである場合、まだ明らかにされていません。それがあなたのサイトに害を及ぼすためにどのように使用されるかもわかりません。

そうは言っても、悪者は私たちよりも一歩先を行っているように見えるので、このリクエストがあなたのサイトで役立つ目的を果たさない場合は、ブロックしようとします。ログが汚染されないようにするだけでも。

可能であればブロックするようにしてください。これらの要求の2つの一貫した部分は、それらをブロックするために焦点を当てているもので/RS=あり、ADAA6U_G38x_VuWqDIVQJpBbDUsUW0そのためです。

ジョンコンデ
ソース
ほんの少しの意見。彼らは正規表現のパラメータをとっている特定のソフトウェアを攻撃しようとしていると思います。存在をテストしているだけかもしれません。%5eが '^'のエンコードされたバージョンであるため、アイデアが生まれました。さらに、文字列の末尾に「-」を付けると、正規表現で範囲を生成するだけで済みます。もちろん、正規表現を知らないので、それが関連しているかどうかはわかりません。
PatomaS 2014
1
ここに別の意見があります。graphicline.co.za/articles/added-uri-string-rsada
cayerdis
3

それらは、Yahoo!を誤って使用するWebスクレイパーから取得さます。検索結果。この発見は、XenForoフォーラムの@tenantsによって行われました。彼らは、これらのリクエストを受信することの意味と、それらの処理方法について詳しく説明します。

1.これらの要求に注意する必要があると思いますか?

これらのリクエストについて心配する必要はありません。これらは、単なるばかボットの特徴であり、ばかボットはインターネット上をさまよっています。これらのリクエストは、URLだけに基づいて悪意があると識別されることはなく、おそらく無害です。

2.これらの要求はアーカイブしようとしていますか?

彼らは彼らが要求しているページのコンテンツを取得しようとしています。これらは特別な効果はなく、Yahoo!の(望ましくない)製品です。スクレイピングを検索します。

3.それらを止めるために私たちにできることは何ですか?

実際には、誰でもネット上で好きなリクエストを自由に投稿できます。(少なくとも技術的に。社会的および法的側面は脇に置いておきます。)

  1. ログからレポートを生成するときに、それらを破棄できます。これは私が選択したオプションです。

  2. または、リクエストを修正してログエントリを生成しないようにすることもできます。これはおそらく、私がWebで見たものからほとんどのことを行っています。このアプローチには欠陥があるようです。訪問者のエクスペリエンスを向上させる一方で、訪問者が誰であるかを忘れてしまいます。ばかボット。私は自分のサイトにばかばかしいボットを入れたくないので、彼らの体験を改善する気になりません。

リクエストを修正したい場合は、 mod-rewrite、から呼び出される可能性があります .htaccess、例えば私が前述したXenForoフォーラム投稿のコードを使用する:

RewriteEngine On

# strange behaving bots, these are urls scraped from yahoo (botters scrapping for links, yahoo search link contain RK RS) tenants modification:
RewriteRule ^(.*)RK=0/RS= /$1 [L,NC,R=301]
RewriteRule ^(.*)RS=^ /$1 [L,NC,R=301]

正規表現を少しいじる必要があるかもしれません。たとえば(.*)、URLの最後にスラッシュがない場合は、スラッシュを追加してください。

 関連した

賛辞スタックオーバーフロー上のdmanの答え@@webaware XenForoフォーラムのポストを見つけるための、この質問の下のコメント。

パレック
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.