Я получаю несколько запросов в веб-приложениях, которые в основном неправильны в том, что мой код не должен генерировать... В основном он запрашивает .ashx без заданных параметров GET.
Пользовательский агент - "Mozilla/4.0" (не более того) IP-адреса меняются изо дня в день.
Это бот, верно?
Спасибо!
Это кажется мне очень странным. Любой законный бот идентифицирует себя так, как вы можете распознать. Любой вредоносный бот сможет сделать гораздо лучшую работу, чтобы пользовательский агент выглядел как обычный браузер. Это где-то посередине. Это в сочетании с плохими запросами приводит меня к мысли, что вы имеете дело с простой старой некомпетентностью.
В любом случае вы, вероятно, захотите выполнить 404 этих запроса, а не вернуть желтую ошибку экрана.
Извините, что у меня старый вопрос, но я думаю, что это бот, используемый Великим брандмауэром Китая. Они сканируют содержимое сети и делают свою цензуру.
Проверьте свой журнал и посмотрите, есть ли что-то вроде "GET/cert/bazs.cert".
100% уверен, что если это найдено.
В соответствии с http://www.user-agents.org бот Yahoo Mindset: Intent-driven Search сообщает об этом.
Но да, это не будет браузер, сообщающий об этом.
Являются ли эти запросы существующими страницами, которые вы написали сами, или они получают 404?
В последнем случае это может быть какая-то атака сканирования, пытаясь обнаружить уязвимые экземпляры приложений, прежде чем нанести им эксплойт.
Я выполнил отслеживание сторонних запросов asp.net на нескольких веб-сайтах и, посмотрев записи, могу сказать, что только пользовательский агент Mozilla/4.0 может быть создан по любой из этих причин:
Интересно, что мой первый Android был определен как "Safari 3.0", последний Android обозначается как "Mozilla 0"! Поэтому трудно указать некомпетентность на создание определенного программного обеспечения.
Возвращение 404 на каждый такой запрос, возможно, не будет лучшим подходом для поисковых роботов, особенно если это общедоступный веб-сайт с частым изменением контента.
С другой стороны, вы должны знать, что запросы к WebResource.axd, где назначение недействительно, указывают на атаки на межсайтовый скриптинг. В таких ситуациях рекомендуется использовать SanitizerProvider. Вы можете узнать больше об этом типе атаки на Cross-site_scripting.
Еще одна хорошая вещь для выявления атак - это просмотр файлов журнала IIS, которые обычно размещаются на [системном корне]:\inetpub\logs\LogFiles\W3SVC1. Вот фрагмент моего инструмента для разбора файлов журнала IIS:
В этом случае пользовательский агент не был проблемой, бот-атака была идентифицирована путем запроса "/dbadmin/index.php" из двух разных IP-адресов. Есть несколько файлов/страниц, которые ищут боты.
Надеемся, что это поможет и даст дополнительную ценность этому вопросу.