异常的 GET 请求

信息安全 恶意软件 僵尸网络
2021-09-04 18:50:32

我收到对我的服务器的异常获取请求:/op69okl?name=http://www.ntdtv.com//op69okl?name=http://www.epochtimes.com/与参数中的其他站点类似的东西。进行一些搜索op69okl似乎是色情帐户的用户名。

为了澄清我对这个问题的兴趣:我是软件开发人员,但我最近开始进行逆向工程并了解更多关于恶意软件的知识。所以我还是太菜鸟,无法系统地处理这个问题。

请求来自中国的IP地址,几乎所有IP都不一样,很少重复。由于 IP 如此不同,这让我相信它们是机器人。我想他们可能正在探索漏洞并期望得到某种回应。在我的情况下,我的服务器(没有运行任何通用框架)没有向该请求返回 404,而是重新路由到默认页面。我想知道这是否就是机器人不断尝试我的 IP 的原因?

我很好奇如何进一步调查。我目前正在学习如何捕获恶意软件,我认为第一步是绘制传入请求的 IP 地址,并更深入地了解它们的来源和频率(它开始于 3 天前;不是很频繁)。然后我想设置一个新服务器,看看我是否可以再次“捕获”相同的请求。我认为 WordPress 或其他通用框架可以解决这个问题。

我还能做些什么来调查这个?我把这当作一个现实生活中的学习机会。

PS我很好奇为什么机器人会这样通过?name=很想知道。

1个回答

这个答案:

https://stackoverflow.com/questions/48512927/apache-random-ips-in-access-log-trying-to-execute-scripts

暗示这是来自中国伟大防火墙的探测,寻找允许人们进入被封锁站点的网关。我无法凭经验进行验证,但这些域适合该类别似乎是合理的。

尝试返回这些域的内容并查看机器人的响应可能会很有趣。

其它你可能感兴趣的问题
上一篇802.1x 网络 (PEAP/MSCHAPv2) 是否可能没有证书? 下一篇为什么 TLS 1.3 中的附加数据为空?