Я предполагаю, что это попытка взлома. Я пробовал погуглить но все, что я получаю, это сайты, которые выглядят так, как будто они уже подвергались эксплуатации.
Я вижу запросы к одной из моих страниц, которые выглядят следующим образом.
/listMessages.asp?page=8&catid=5+%28200+ok%29+ACCEPTED
"(200 ok) ACCEPTED" - это то, что странно. Но вроде ничего не делает.
Я использую IIS 5 и ASP 3.0. Этот "взлом" предназначен для какого-то другого типа веб-сервера?
Редактировать:
Обычные запросы выглядят так:
/listMessages.asp?page=8&catid=5
Здесь тоже несколько попыток на Пасху.
/ +% 28200 + ok% 29 + ПРИНЯТО
(200 ок) ПРИНЯТО
Похоже, это случайные проверки серверов.
IP можно найти в базе данных Stopforumspam.
Я нахожу эти записи очень интересно (и не в хорошем смысле).
/listMessages.asp?page=8&catid=5+%28200+ok%29+ACCEPTED
Основная разбивка этого с точки зрения программы дает следующие переменные:
page = 8
catid = "5 " + chr(28) + "200 ok" + chr(29) + " ACCEPTED"
В катида переменная здесь повреждена. Код ASCII 28 - это разделитель файлов, а код 29 - разделитель групп.
Если возможно, я бы проверил обработку переменной catid и в противном случае проигнорировал бы ее, если программа обрабатывает ее правильно (и отклоняет).
Единственный стоящий результат в Google - это, так что ...
Только что это появилось на сайте IIS 6 (Server 2003), которым я управляю. В этом конкретном случае нужно перейти на страницу ColdFusion (базовый файл шаблона, который используется на всем сайте, включая домашнюю страницу) и просто прикрепить его к концу основы URI (без строки запроса).
Тот же запрос, поступающий с нескольких разных IP-адресов, со следующим общим пользовательским агентом:
Mozilla/3.0 (x86 [en] Windows NT 5.1; Sun)
Информация о реферере не передана. 21 запрос за 2 минуты с чуть более полудюжины уникальных IP-адресов. Страны, возвращенные для IP, включают США, Боснию, Малайзию и т. Д.
Все ли запросы поступают из одного диапазона IP-адресов? Вы пробовали запустить захват пакетов, чтобы увидеть, как выглядят полные заголовки запросов?
В целом это может выглядеть как очень специфическая или специально созданная попытка взлома, которая выглядит как ошибка, но я полагаю, что это не так. Вам также следует проанализировать предыдущие и последующие запросы от этого пользователя. Если это иногда происходит из разных мест без каких-либо других подозрительных вещей, это ошибка, а не попытки взлома.
Я получаю такой же запрос на сайте, на котором работает классический ASP на IIS 7. Все отслеживаемые мной IP-адреса исходят от спамеров. Я также понятия не имею, что они пытаются сделать, и это не оказывает отрицательного воздействия на сайт, кроме как раздражать нас ошибкой 404.
Что касается 200 OK Accepted, это код состояния HTTP: http://www.w3.org/Protocols/rfc2616/rfc2616-sec10.html
У меня недостаточно прав для комментариев, но я тоже получаю это со строкой браузера:
User agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322; Alexa Toolbar; (R1 1.5))
IP address: 94.45.33.18
Это против сервера Apache. Я не думаю, что это атака, так как она слишком редкая и не вызовет проблем ни на каком HTTP-сервере, о котором я могу думать, за исключением выдачи 404 ошибки.
Короткий ответ, может быть. Но учитывая ту информацию, которую вы нам даете, я бы сказал нет. Дополнительные журналы могут изменить ответ.