<p>zkusil bych ty adresy (a mozna i requesty) dat do googlu. Nasi aplikací se jednou snazili napadnout pomoci sluzby anonymouse, mam díky google sbirku adres, ktere tato sluzba pouziva. Nicmene ty requesty vypadaji hodne divne :-)
<br />
<br />A.<br /><br />> -------- Původní zpráva --------<br />> Od: Adam Heinrich A.Heinrich@seznam.cz<br />> Předmět: Re: OT na neděli: Podivné http requesty<br />> Datum: 20090322T08:56:44-0000<br />> ------------------------------<br />> Zdravím,
<br />>   při pravidelném prohlížení logů svého webového serveru jsem narazil na
<br />> podivné requesty, jejichž smysl je mi utajen. V logu Apache se jeví takto:
<br />> 
<br />> 124.236.33.155 - - [22/Mar/2009:07:39:15 +0100] "GET /tMdwFhFBw/RMzvsVduO/QOQ/hnftz/zEWbm4mmh/GGU/4fbzhEB/dQh4F6VRU2/v4bj2vwjf/FBtO6V6b4G/DEQr/U6m2y/n4A_utm.gif HTTP/1.1" 404 381
<br />> 121.29.152.250 - - [22/Mar/2009:06:47:22 +0100] "GET /PGTNDp2AE/A2Kk/GLCZ/GT0PZGELc/mm_G_1X/Dc20c9Xbl/ZXUOgmdYl/UGD/ZdUBNkzW/dA9XUdbU2/GLClBmP/ODoZ/8tMDO.gif HTTP/1.1" 404 378
<br />> 94.241.164.3 - - [22/Mar/2009:06:32:19 +0100] "GET /8cvbvKWB4/Rss/6-cGk/kzTSjKrMBJ/z9O-M161rS/K60ZS/SBvGpsb/r0k2csZ/8W1S/bbST/2Zb6B4v/Mk-11ksr0-/87b/BjU0r6J1r/0LNK6vMRG-/8NKVe/wSnUaj.gif HTTP/1.0" 404 397
<br />> 120.0.198.79 - - [22/Mar/2009:05:15:09 +0100] "GET /JvNv1JEr/gz1OR/rCNWJ4b/Q19DjoZLNb/5zGI/v2IGzLG/JLrpevL/0eJZ41nNee/OQCb5m/rbvmuN4/DnvojDgW/-S9kQ3H/b.gif HTTP/1.1" 404 378
<br />> 124.236.36.120 - - [22/Mar/2009:01:52:39 +0100] "GET /43QIgS/epue/Zopg/TTSeDDeoZ/dlQ/XSoH43owo/WfFEGE/jFDxQ_wjj/GEBp3/_ulQCG_No/FZx_o/Q3DS/OpGm9ew0NX/I.gif HTTP/1.1" 404 376
<br />> 
<br />> Je vidět, že server s nimi nemá problém, vrací 404 Not Found, ale divím se,
<br />> komu to stojí za to tyhle requesty generovat, ev. pro koho jsou určeny,
<br />> jakou vulnerabilitu jakého systému vlastně napadají. Vždy jde o cestu složenou
<br />> z náhodných komponent a na konci je požadavek o náhodně se jmenující gif.
<br />> 
<br />> Dále mne zajímal vývoj této situace. První request tohoto typu na můj server
<br />> přišel 5.3.2009 ve 23:09. V dalších dnech requesty postupně přibývaly, napřed
<br />> tak 1 - 2 za den a jak vidíte, dnes už jsem jich měl od půlnoci 5. Rovněž se
<br />> pomalu, ale jistě prodlužuje délka těch requestů - ten první tohoto typu byl
<br />> docela kratičký:
<br />> 
<br />> 121.29.153.220 - - [05/Mar/2009:23:04:17 +0100] "GET /nO9dpRusz/whEL449XQ/6Glb/fn1r/Yi.gif HTTP/1.1" 404 311
<br />> 
<br />> Request se nikdy neopakuje - vždy přijde z jedné IP adresy právě jeden a pak až
<br />> za čas zase z jiné. Pouze ve 3 případech jsem měl 2 requesty z jedné IP adresy,
<br />> ale časově spolu nesouvisely - bylo mezi nimi několik dní.
<br />> 
<br />> Nu a nakonec jsem si všiml toho, že distribuce těchto requestů podle IP adres
<br />> nejeví znaky rovnoměrného rozložení. Udělal jsem si tedy statistiku dle prvních
<br />> dvou oktetů IP adresy a výsledek je tento:
<br />> 
<br />>       1 58.144
<br />>       1 60.1
<br />>       1 94.241
<br />>       6 120.0
<br />>       5 121.29
<br />>       1 122.88
<br />>       1 123.113
<br />>      28 123.182
<br />>      33 124.236
<br />>       1 125.120
<br />>       1 125.76
<br />>       1 218.24
<br />>       2 218.82
<br />>       1 221.194
<br />>       1 222.209
<br />>       1 222.45
<br />> 
<br />>   Všimněte si extrémního výskytu ze 2 rozsahů, které se celkově podílejí na 
<br />> cca 2/3 všech requestů. Zajímavé také je, že se tam nevyskytuje prakticky
<br />> žádný mně známý rozsah, používaný v ČR.
<br />> 
<br />>   Tuší někdo, odkud tenhle HTTP vítr fouká :-) ? A pro zajímavost - webmasteři,
<br />> také vidíte tyto requesty na svých serverech ?
<br />> 
<br />>   S pozdravem a přáním hezké neděle
<br />>       Pavel Troller
<br />> _______________________________________________
<br />> HW-list mailing list  -  sponsored by www.HW.cz
<br />> Hw-list@list.hw.cz
<br />> http://list.hw.cz/mailman/listinfo/hw-list
<br />> </p>