Re: OT na neděli: Podivné http requesty

[Heinrich Adam]

zkusil bych ty adresy (a mozna i requesty) dat do googlu. Nasi aplikacĂ­ se jednou snazili napadnout pomoci sluzby anonymouse, mam dĂ­ky google sbirku adres, ktere tato sluzba pouziva. Nicmene ty requesty vypadaji hodne divne :-)

A.

> -------- PĹŻvodnĂ­ zprĂĄva --------
> Od: Adam Heinrich A.Heinrich@seznam.cz
> Předmět: Re: OT na neděli: Podivné http requesty
> Datum: 20090322T08:56:44-0000
> ------------------------------
> ZdravĂ­m,
>   při pravidelném prohlížení logů svého webového serveru jsem narazil na
> podivnĂŠ requesty, jejichĹž smysl je mi utajen. V logu Apache se jevĂ­ takto:
> 
> 124.236.33.155 - - [22/Mar/2009:07:39:15 +0100] "GET /tMdwFhFBw/RMzvsVduO/QOQ/hnftz/zEWbm4mmh/GGU/4fbzhEB/dQh4F6VRU2/v4bj2vwjf/FBtO6V6b4G/DEQr/U6m2y/n4A_utm.gif HTTP/1.1" 404 381
> 121.29.152.250 - - [22/Mar/2009:06:47:22 +0100] "GET /PGTNDp2AE/A2Kk/GLCZ/GT0PZGELc/mm_G_1X/Dc20c9Xbl/ZXUOgmdYl/UGD/ZdUBNkzW/dA9XUdbU2/GLClBmP/ODoZ/8tMDO.gif HTTP/1.1" 404 378
> 94.241.164.3 - - [22/Mar/2009:06:32:19 +0100] "GET /8cvbvKWB4/Rss/6-cGk/kzTSjKrMBJ/z9O-M161rS/K60ZS/SBvGpsb/r0k2csZ/8W1S/bbST/2Zb6B4v/Mk-11ksr0-/87b/BjU0r6J1r/0LNK6vMRG-/8NKVe/wSnUaj.gif HTTP/1.0" 404 397
> 120.0.198.79 - - [22/Mar/2009:05:15:09 +0100] "GET /JvNv1JEr/gz1OR/rCNWJ4b/Q19DjoZLNb/5zGI/v2IGzLG/JLrpevL/0eJZ41nNee/OQCb5m/rbvmuN4/DnvojDgW/-S9kQ3H/b.gif HTTP/1.1" 404 378
> 124.236.36.120 - - [22/Mar/2009:01:52:39 +0100] "GET /43QIgS/epue/Zopg/TTSeDDeoZ/dlQ/XSoH43owo/WfFEGE/jFDxQ_wjj/GEBp3/_ulQCG_No/FZx_o/Q3DS/OpGm9ew0NX/I.gif HTTP/1.1" 404 376
> 
> Je vidět, že server s nimi nemá problém, vrací 404 Not Found, ale divím se,
> komu to stojí za to tyhle requesty generovat, ev. pro koho jsou určeny,
> jakou vulnerabilitu jakého systému vlastně napadají. Vždy jde o cestu složenou
> z náhodných komponent a na konci je požadavek o náhodně se jmenující gif.
> 
> Dåle mne zajímal vývoj tÊto situace. První request tohoto typu na můj server
> přišel 5.3.2009 ve 23:09. V dalších dnech requesty postupně přibývaly, napřed
> tak 1 - 2 za den a jak vidíte, dnes už jsem jich měl od půlnoci 5. Rovněž se
> pomalu, ale jistě prodlužuje délka těch requestů - ten první tohoto typu byl
> docela kratičký:
> 
> 121.29.153.220 - - [05/Mar/2009:23:04:17 +0100] "GET /nO9dpRusz/whEL449XQ/6Glb/fn1r/Yi.gif HTTP/1.1" 404 311
> 
> Request se nikdy neopakuje - vždy přijde z jedné IP adresy právě jeden a pak až
> za čas zase z jiné. Pouze ve 3 případech jsem měl 2 requesty z jedné IP adresy,
> ale časově spolu nesouvisely - bylo mezi nimi několik dní.
> 
> Nu a nakonec jsem si všiml toho, že distribuce těchto requestů podle IP adres
> nejeví znaky rovnoměrného rozložení. Udělal jsem si tedy statistiku dle prvních
> dvou oktetů IP adresy a výsledek je tento:
> 
>       1 58.144
>       1 60.1
>       1 94.241
>       6 120.0
>       5 121.29
>       1 122.88
>       1 123.113
>      28 123.182
>      33 124.236
>       1 125.120
>       1 125.76
>       1 218.24
>       2 218.82
>       1 221.194
>       1 222.209
>       1 222.45
> 
>   Všimněte si extrémního výskytu ze 2 rozsahů, které se celkově podílejí na 
> cca 2/3 vĹĄech requestĹŻ. ZajĂ­mavĂŠ takĂŠ je, Ĺže se tam nevyskytuje prakticky
> žádný mně známý rozsah, používaný v ČR.
> 
>   Tuší někdo, odkud tenhle HTTP vítr fouká :-) ? A pro zajímavost - webmasteři,
> takÊ vidíte tyto requesty na svých serverech ?
> 
>   S pozdravem a přáním hezké neděle
>       Pavel Troller
> _______________________________________________
> HW-list mailing list  -  sponsored by www.HW.cz
> Hw-list@list.hw.cz
> http://list.hw.cz/mailman/listinfo/hw-list
> 
------------- další část ---------------
HTML příloha byla odstraněna...
URL: http://list.hw.cz/pipermail/hw-list/attachments/20090322/b7fbba64/attachment-0001.htm