OT na neděli: Podivné http requesty

Pavel Troller patrol@sinus.cz
Neděle Březen 22 08:55:46 CET 2009


Zdravím,
  při pravidelném prohlížení logů svého webového serveru jsem narazil na
podivné requesty, jejichž smysl je mi utajen. V logu Apache se jeví takto:

124.236.33.155 - - [22/Mar/2009:07:39:15 +0100] "GET /tMdwFhFBw/RMzvsVduO/QOQ/hnftz/zEWbm4mmh/GGU/4fbzhEB/dQh4F6VRU2/v4bj2vwjf/FBtO6V6b4G/DEQr/U6m2y/n4A_utm.gif HTTP/1.1" 404 381
121.29.152.250 - - [22/Mar/2009:06:47:22 +0100] "GET /PGTNDp2AE/A2Kk/GLCZ/GT0PZGELc/mm_G_1X/Dc20c9Xbl/ZXUOgmdYl/UGD/ZdUBNkzW/dA9XUdbU2/GLClBmP/ODoZ/8tMDO.gif HTTP/1.1" 404 378
94.241.164.3 - - [22/Mar/2009:06:32:19 +0100] "GET /8cvbvKWB4/Rss/6-cGk/kzTSjKrMBJ/z9O-M161rS/K60ZS/SBvGpsb/r0k2csZ/8W1S/bbST/2Zb6B4v/Mk-11ksr0-/87b/BjU0r6J1r/0LNK6vMRG-/8NKVe/wSnUaj.gif HTTP/1.0" 404 397
120.0.198.79 - - [22/Mar/2009:05:15:09 +0100] "GET /JvNv1JEr/gz1OR/rCNWJ4b/Q19DjoZLNb/5zGI/v2IGzLG/JLrpevL/0eJZ41nNee/OQCb5m/rbvmuN4/DnvojDgW/-S9kQ3H/b.gif HTTP/1.1" 404 378
124.236.36.120 - - [22/Mar/2009:01:52:39 +0100] "GET /43QIgS/epue/Zopg/TTSeDDeoZ/dlQ/XSoH43owo/WfFEGE/jFDxQ_wjj/GEBp3/_ulQCG_No/FZx_o/Q3DS/OpGm9ew0NX/I.gif HTTP/1.1" 404 376

Je vidět, že server s nimi nemá problém, vrací 404 Not Found, ale divím se,
komu to stojí za to tyhle requesty generovat, ev. pro koho jsou určeny,
jakou vulnerabilitu jakého systému vlastně napadají. Vždy jde o cestu složenou
z náhodných komponent a na konci je požadavek o náhodně se jmenující gif.

Dále mne zajímal vývoj této situace. První request tohoto typu na můj server
přišel 5.3.2009 ve 23:09. V dalších dnech requesty postupně přibývaly, napřed
tak 1 - 2 za den a jak vidíte, dnes už jsem jich měl od půlnoci 5. Rovněž se
pomalu, ale jistě prodlužuje délka těch requestů - ten první tohoto typu byl
docela kratičký:

121.29.153.220 - - [05/Mar/2009:23:04:17 +0100] "GET /nO9dpRusz/whEL449XQ/6Glb/fn1r/Yi.gif HTTP/1.1" 404 311

Request se nikdy neopakuje - vždy přijde z jedné IP adresy právě jeden a pak až
za čas zase z jiné. Pouze ve 3 případech jsem měl 2 requesty z jedné IP adresy,
ale časově spolu nesouvisely - bylo mezi nimi několik dní.

Nu a nakonec jsem si všiml toho, že distribuce těchto requestů podle IP adres
nejeví znaky rovnoměrného rozložení. Udělal jsem si tedy statistiku dle prvních
dvou oktetů IP adresy a výsledek je tento:

      1 58.144
      1 60.1
      1 94.241
      6 120.0
      5 121.29
      1 122.88
      1 123.113
     28 123.182
     33 124.236
      1 125.120
      1 125.76
      1 218.24
      2 218.82
      1 221.194
      1 222.209
      1 222.45

  Všimněte si extrémního výskytu ze 2 rozsahů, které se celkově podílejí na 
cca 2/3 všech requestů. Zajímavé také je, že se tam nevyskytuje prakticky
žádný mně známý rozsah, používaný v ČR.

  Tuší někdo, odkud tenhle HTTP vítr fouká :-) ? A pro zajímavost - webmasteři,
také vidíte tyto requesty na svých serverech ?

  S pozdravem a přáním hezké neděle
      Pavel Troller



Další informace o konferenci Hw-list