web-dev-qa-db-fra.com

Quelles sont ces demandes étranges Speed_Bump dans mes journaux? Malware, nuisance, rien?

J'ai récemment remarqué un certain nombre de demandes de déchets entrant dans un site Web que je lance. Ils ressemblent à ceci:

2015-02-19 13:54:27.272 /notify-Speed_Bump?aHR0cDovL3d3dy5zaGFya2FseXRpY3MuY29tLw==
2015-02-19 13:44:35.159 /verify-Speed_Bump?aHR0cDovL3d3dy5zaGFya2FseXRpY3MuY29tL2NvbXBhbnkvdGVuLXRoaXJ0eS1vbmUtcHJvZHVjdGlvbnM=
2015-02-19 13:44:35.081 /verify-Speed_Bump?aHR0cDovL3d3dy5zaGFya2FseXRpY3MuY29tL2NvbXBhbnkvdGVuLXRoaXJ0eS1vbmUtcHJvZHVjdGlvbnM=
2015-02-19 13:43:31.952 /accepted-Speed_Bump?aHR0cDovL3d3dy5zaGFya2FseXRpY3MuY29tL2ludmVzdG9yL21jdWJhbg==
2015-02-19 13:43:31.841 /accepted-Speed_Bump?aHR0cDovL3d3dy5zaGFya2FseXRpY3MuY29tL2ludmVzdG9yL21jdWJhbg==
2015-02-19 13:43:29.356 /notify-Speed_Bump?aHR0cDovL3d3dy5zaGFya2FseXRpY3MuY29tL2ludmVzdG9yL21jdWJhbg==

Je cherchai des réponses sur le problème de Speed_Bump, mais je ne trouvai rien à ce sujet. Pas de mal pour le moment, bien sûr, le serveur en a renvoyé 404 à chaque fois. Je n'ai pas reçu beaucoup de ces demandes, mais elles proviennent d'IP dont les plages étaient déjà suspectes en raison d'un mauvais comportement antérieur.

Est-ce méchant, ennuyeux ou tout simplement rien?

malwarebotattack
3
kriztynna

Vous ne pouvez pas faire grand chose à ce sujet. Les enregistrements de journal comme ceux-ci se produisent tout le temps, peu importe le type de site que vous hébergez. Il y a de nombreuses raisons...

  1. Profilage de site - Certains utilisateurs malveillants essaieront d'injecter diverses chaînes d'URL aléatoires dans le chemin pour savoir s'ils obtiennent un retour valide ou non. Cette opération est conçue pour identifier la plate-forme hébergeant le système (c'est-à-dire: infrastructure, langue, section masquée, etc.) .
  2. Virus sur l'ordinateur client - Certains virus et programmes malveillants peuvent faire la même chose pour la même raison lorsqu'ils sont installés sur un ordinateur client distant.
  3. Réseau mal configuré - Parfois, une appliance de sécurité réseau ou un logiciel réseau entraîne l'ajout de ce type d'URL à l'URL pour qu'il fonctionne sur le réseau local, mais n'a aucune signification pour votre serveur. Dans ce cas, c'est simplement la manière dont ils ont besoin pour configurer leur réseau.

Sur la base de votre question, des recherches ont montré qu'il s'agirait plus que probablement de l'option 3. Dans ce type d'instance, vous faites déjà tout ce que vous pouvez faire et consiste à renvoyer 404 erreurs à la demande. Il est peu probable que ce soit un problème malveillant et à moins de bloquer le blocage d’adresse (ce qui aurait également pour effet de bloquer un certain nombre de visiteurs potentiels sur votre site), vous ne pouvez pas faire grand chose d’autre.

1
Chris Rutherfurd