6 votos

(200 ok) ACEPTADA - Es este un intento de hacking?

Supongo que esto es algún tipo de intento de intrusión. He trate de buscar en Google pero todo lo que veo son los sitios que parecen que se han explotado ya.

Estoy viendo las peticiones a una de mis páginas que tiene este aspecto.

/listMessages.asp?page=8&catid=5+%28200+ok%29+ACCEPTED

La '(200 ok) ACEPTADA " es lo que es impar. Pero no parece hacer nada.

Estoy ejecuta en IIS 5 y ASP 3.0. Es este "hack" se entiende por algún otro tipo de servidor web?

Editar:

Peticiones normales aspecto:

/listMessages.asp?page=8&catid=5

2voto

Vi. Puntos 583
  1. Puede ser el registro que está mal. Parece que parte de la respuesta dentro de la URL. Si aparece en los registros de IIS, intentar ver la URL de solicitud de uso de un analizador de paquetes para asegurarse de que es realmente tal.
  2. Puede ser algún script obtiene con formato incorrecto URL, por ejemplo, puede ser error en su sitio ASP.

En general, se puede ver como muy específicos o especialmente diseñado crack intento que se hizo para parecerse a un error, pero supongo que no lo es. Usted debe analizar también el anterior, y pide además a partir de este usuario. Si es que a veces se producen de diferentes lugares con ningún otro sospechoso cosas, es un error, no un crack intentos.

2voto

Josh Puntos 4445

Son todas las solicitudes que provienen de un rango de IP? Has probado a ejecutar una captura de paquetes para ver lo que el total encabezados de solicitud?

2voto

James Skemp Puntos 450

Sólo merece la pena el resultado en Google es este, así que ...

Tenía esta se muestran en un IIS 6 (Server 2003) sitio puedo gestionar. En este caso particular, de golpear a una página de ColdFusion (básico archivo de plantilla que se utiliza a través de la web, incluyendo la página de inicio), y sólo a virar a la final de la URI de la madre (no de cadena de consulta).

Misma solicitud, procedentes de una serie de diferentes IPs, con la siguiente usuario-agente de común entre ellos:

Mozilla/3.0 (x86 [en] Windows NT 5.1; Sun)

Hay referencia de la información que pasa. 21 solicitudes de más de 2 minutos, con un poco más de la mitad de una docena de IPs únicas. Países devueltos por IP incluyen NOSOTROS, Bosnia, Malasia, etcétera.

2voto

Mei Puntos 2795

Puedo encontrar esas entradas muy interesantes (y no en el buen sentido).

/listMessages.asp?page=8&catid=5+%28200+ok%29+ACCEPTED

El desglose básico de este programa de punto de vista, da las siguientes variables:

page = 8
catid = "5 " + chr(28) + "200 ok" + chr(29) + " ACCEPTED"

El catid variable se corrompe aquí. Código ASCII 28 de Archivo Separador, y el código de 29 Separador de Grupo.

Si es posible, me gustaría comprobar el procesamiento de la catid variable, y de lo contrario omitir si el programa maneja correctamente (y la rechaza).

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: