我注意到我正在维护的 Rails 应用程序有一些这样的请求:
GET http://mydomain.com/?f=4&t=252751+++++++++++++++++++++++++++++++++++++++++Result:+%E8%F1%EF%EE%EB%FC%E7%F3%E5%EC+%EF%F0%EE%EA%F1%E8+85.17.122.209:6188;+%ED%E5+%ED%E0%F8%EB%EE%F1%FC+%F4%EE%F0%EC%FB+%E4%EB%FF+%EE%F2%EF%F0%E0%E2%EA%E8;+Result:+GET-%F2%E0%E9%EC%E0%F3%F2%EE%E2+1;+%ED%E5+%ED%E0%F8%EB%EE%F1%FC+%F4%EE%F0%EC%FB+%E4%EB%FF+%EE%F2%EF%F0%E0%E2%EA%E8;
这看起来像是试图利用我的一些漏洞,但我无法理解它应该做什么,而且谷歌有点难。任何见解将不胜感激。
请求参数使用 Windows 代码页 1251 进行编码,并包含一条看似无害的俄语错误消息:
используем прокси 85.17.122.209:6188; не нашлось формы для отправки; 结果:GET-таймаутов 1;не нашлось формы для отправки;
大致翻译成英文,消息内容如下:
使用代理 85.17.122.209:6188;没有要发送的表格;结果:GET-timeout 1;没有要发送的表格;
它肯定看起来不像有人试图破解你。我宁愿假设某些东西试图报告错误,并且由于配置错误正在调用您的服务器,而不是应该跟踪或处理问题的任何东西。
可能有人试图对您的网站进行模糊测试,以期找到漏洞。看到这些路过其实很正常。它被称为互联网背景噪音(在这种情况下,您正在运行一项服务,因此描述并不完全正确)。
我通过 URL 解码器运行它:
?????????? ?????? 85.17.122.209:6188; ?? ??????? ????? ??? ????????; Result: GET-????????? 1; ?? ??????? ????? ??? ????????
我不完全确定他想要达到什么目的(这可能是你的 IP 吗?)但可能是他希望找到一个 SQL 注入,允许升级到命令注入。我还怀疑他们对某些字段使用了不同的字符编码,希望您的代码将其直接传递给您的数据库后端(这称为多字节漏洞利用 SQL 注入,请查看此处多字节字符漏洞利用 - PHP/MySQL)。我无法识别使用的字符编码。
我的网站上也有它们,通常我不太担心它们(您只需要跟踪所有安全更新)。我建议您获得基于主机的入侵检测系统。我最喜欢的是OSSEC,它会(有时经过一些微调)会自动阻止这些违规者。还值得一提的是,它包含了一个 rootkit 猎手,因此如果他们入侵了您,它将开始通知文件更改(它也会在您执行更新或编辑关键文件时触发,因此适用于您确定没有的情况做任何事情)。