drôle d'url demandée

[johnny-57]

Bonjour,

J'ai de drôle d'url qui sont demandées sur un des sites que je suis :

\'+bseuri+\'/\'+bseuri+\'/\'+bseuri+\'/\'+bseuri+\'/\'+bseuri+\'/\'+bseuri+\'/\'+bseuri+\'

Tentative de hack ? recherche de faille ? qu'en pensez vous ?

 

[nickargall]

Ptet une recherche de faille ? Ou un lien interne mal fichu qui boucle ?

 

[Leonick]

vérifie dans tes js, ça peut provenir de lui aussi

 

[johnny-57]

Je pense que ça ne vient pas du site parce qu'il n'y a jamais eu ce genre d'erreur et aucune maj n'a été faite récemment.

Il n'y a pas de référant sur la visite et ce 'bseuri' je n'ai jamais vu.

En fait j'ai vu ça parce que j'ai fais une page 404 perso qui envoi un mail en cas de 404 avec le referant, la page demandé l'hote et l'ip.

 

[Leonick]

quand je ne comprend pas certaines demandes, je fais un tour dans les logs et je vérifie les logs relatifs à l'ip posant problème
puis un reverse DNS pour voir à quoi correspond l'ip (serveur ou localisation géographique)

 

[johnny-57]

Ben l'iup est française (orange) navigateur IE, faudrait que je consulte les logs pour voir effectivement.

JE me disais que cette variable dirait peut etre quelque chose a quelqun.

 

[Leonick]

JE me disais que cette variable dirait peut etre quelque chose a quelqun.

as-tu cherché dans gg ? https://www.google.fr/search?q=bseuri&ie=utf-8&oe=utf-8&aq=t&rls=org.mo ... =firefox-a visiblement ça ressemble à ce que je disais, du js, mais qui tenterais d'exploiter des failles dans des formulaires, donc pas bon du tout. Il risque de falloir vérifier sur ton ftp si rien n'a été ajouté comme script

 

[johnny-57]

Bon j'ai trouvé le coupable je pense, un script d'une regie pub utilise cette variable. MAintenant, pourquoi ça a bugué comme ça mystère.

 

[johnny-57]

Tiens, les bizarreries continues, deux autre url bizards demandé et donnée en 404 :

/MSOffice/cltreq.asp?UL=1&ACT=4&BUILD=4518&STRMVER=4&CAPREQ=0

/_vti_bin/owssvr.dll?UL=1&ACT=4&BUILD=4518&STRMVER=4&CAPREQ=0

Au final je me demande si il n'y a pas réellement tentative de hack...

 

[Leonick]

ces 2 là je les ai très souvent dans mes logs

 

[johnny-57]

Pour ses deux dernières urls l'user agent est surprenant quand même :

Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; GTB5; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727; InfoPath.2; .NET CLR 3.0.04506.30; MEGAUPLOAD 3.0)

 

[Dan_A]

Au final je me demande si il n'y a pas réellement tentative de hack...

Si j'ai de bons souvenirs, c'est frontpage qui génère ce genre de requêtes.
A titre personnel, j'ai deux fichiers vides (/MSOffice/cltreq.asp et /_vti_bin/owssvr.dll) pour chaque site afin d'éviter de polluer les logs.

 

[Leonick]

A titre personnel, j'ai deux fichiers vides (/MSOffice/cltreq.asp et /_vti_bin/owssvr.dll) pour chaque site afin d'éviter de polluer les logs.

tu les pollues quand même tes logs, c'est juste les logs d'erreurs qi ne sont pas pollués

 

[johnny-57]

Effectivement c'est juste déplacer le problème. Ce qui le surprend c'est que quelqun cherche ses fichiers sur le serveur et qu'il a pour user agent megaupload.

 

[Leonick]

un addon firefox existe https://addons.mozilla.org/en-US/firefox/addon/3843