每天早上,我都会监控访问日志以过滤掉机器人程序和恶意入侵尝试。我一直注意到这种相同类型的日志。
示例输出(网站和 IP 地址被隐藏):
8232 xxx.xxx.xx.xx - - [11/Oct/2018:04:14:11 -0500] <thewebsite>.com "GET /util/login.aspx HTTP/1.1" 302 0 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.11; rv:52.0) Gecko/20100101 Firefox/52.0" "-"
首先,/util/login.aspx 不存在,因此它们被重定向。这看起来不像典型的爬虫,因为它们正在尝试访问登录页面。
有人可以阐明一个典型的脚本小子可能在做什么吗?它始终是完全相同的文件路径 (/util/login.aspx)。我有适当的工具来缓解这种情况,但我想知道是否有人见过这种类型的活动,看起来像是典型的 ASP.NET 登录页面。我们使用 Linux 服务器。
对重复不成功的虚假请求的典型系统管理员响应是阻止并完成它。也许将不必要的面向外部的资源转移到内部区域。
您没有的平台的登录页面显然是无效的,并且可能是一次漏洞利用尝试。如果您需要有关这方面的实际威胁情报,请投资于您的安全组织。了解各种漏洞利用、查找 IP 信誉分数以及与最近的僵尸网络相关联是安全分析师的一些工作。