Один из веб-сайтов, которым я управляю, в прошлом месяце имел необычный трафик. Было ~ 6500 обращений к URL-адресу на несуществующем сайте (сервер отправил правильный ответ 404 согласно журналам).
URL-адрес был /fkzk-start.html, и обращения приходили с различных IP-адресов со всего мира. Каждый IP-адрес также посещал другие страницы веб-сайта, но для трафика на страницу /fkzk-start.html использовался другой пользовательский агент;
"MobileSafari / 602.1 CFNetwork / 808.3 Darwin / 16.3.0"
Была обычная дюжина или около того автоматических атак на открытые административные каталоги CMS, которые также получили бы 404 ответа, но никакого другого трафика, который был бы необычным.
Это была попытка взлома моего веб-сайта?
Чтобы узнать, настоящая ли это атака, вам нужно знать, какой тип запроса был сделан. Если бы эти IP-адреса просто выполняли 6500 GET-запросов в течение месяца, это, на мой взгляд, нельзя квалифицировать как «атаку». Вам необходимо проанализировать файл журнала, чтобы определить, к какому ресурсу можно получить доступ по этому URL-адресу. На первый взгляд это может выглядеть как DDOS в соответствии с другим IP-адресом, но, как я уже сказал, количество запросов за период в один месяц, на мой взгляд, недостаточно для ограничения скорости работы веб-сервера.
Количество (~ 6500) из 404 обращений мало что говорит без знания отношения ко всем попаданиям. Однако, если они получены с IP-адресов обычных пользователей и соотношение низкое, это вряд ли нападение.
В MobileSafari/602.1 CFNetwork/808.3 Darwin/16.3. в пользовательском агенте обычно относится к ситуации, когда Пользователь iPhone использует Добавить на домашний экран вариант в Поделиться меню. В то время как обычный пользовательский агент от клиента начинается с Mozilla/5.0 (iPhone; CPU iPhone OS за которой следует актуальная информация о версии и многое другое для чисто исторические причины,
в Добавить на домашний экран отправляет другой пользовательский агент, пытаясь получить стандартный Иконки Apple Touch и /favicon.ico стандартизирован в HTML 4.01 и XHTML 1.0.
GET /apple-touch-icon-120x120-precomposed.png HTTP/1.1
GET /apple-touch-icon-120x120.png HTTP/1.1
GET /apple-touch-icon-precomposed.png HTTP/1.1
GET /apple-touch-icon.png HTTP/1.1
GET /favicon.ico HTTP/1.1
В дополнение к этим стандартным местоположениям может быть что-то еще определено в
<link rel="apple-touch-icon" href="some.png" />
<link rel="apple-touch-icon-precomposed" href="some.png" />
вызывая его получение во время добавления ярлыка.
CFNetwork это Apple Framework для MacOS и iOS. Следовательно, один и тот же пользовательский агент мог быть вызван приложением iOS. Если ваш сайт обслуживает какие-либо приложения iOS, убедитесь, что в приложении нет исторического кода, который пытается получить доступ /fkzk-start.html.
Этот конкретный /fkzk-start.html file не является известным признаком уязвимой CMS или чего-то подобного. Иногда такие известные пути просматриваются для выявления уязвимых сайтов перед реальной атакой.