drôle d'url demandée

Discussion dans 'Développement d'un site Web ou d'une appli mobile' créé par johnny-57, 11 Septembre 2009.

  1. johnny-57
    johnny-57 WRInaute occasionnel
    Inscrit:
    20 Avril 2007
    Messages:
    319
    J'aime reçus:
    0
    Bonjour,

    J'ai de drôle d'url qui sont demandées sur un des sites que je suis :

    \'+bseuri+\'/\'+bseuri+\'/\'+bseuri+\'/\'+bseuri+\'/\'+bseuri+\'/\'+bseuri+\'/\'+bseuri+\'

    Tentative de hack ? recherche de faille ? qu'en pensez vous ?
     
  2. nickargall
    nickargall WRInaute accro
    Inscrit:
    13 Juin 2005
    Messages:
    7 239
    J'aime reçus:
    0
    Ptet une recherche de faille ? Ou un lien interne mal fichu qui boucle ?
     
  3. Leonick
    Leonick WRInaute accro
    Inscrit:
    8 Août 2004
    Messages:
    22 709
    J'aime reçus:
    0
    vérifie dans tes js, ça peut provenir de lui aussi
     
  4. johnny-57
    johnny-57 WRInaute occasionnel
    Inscrit:
    20 Avril 2007
    Messages:
    319
    J'aime reçus:
    0
    Je pense que ça ne vient pas du site parce qu'il n'y a jamais eu ce genre d'erreur et aucune maj n'a été faite récemment.

    Il n'y a pas de référant sur la visite et ce 'bseuri' je n'ai jamais vu.

    En fait j'ai vu ça parce que j'ai fais une page 404 perso qui envoi un mail en cas de 404 avec le referant, la page demandé l'hote et l'ip.
     
  5. Leonick
    Leonick WRInaute accro
    Inscrit:
    8 Août 2004
    Messages:
    22 709
    J'aime reçus:
    0
    quand je ne comprend pas certaines demandes, je fais un tour dans les logs et je vérifie les logs relatifs à l'ip posant problème
    puis un reverse DNS pour voir à quoi correspond l'ip (serveur ou localisation géographique)
     
  6. johnny-57
    johnny-57 WRInaute occasionnel
    Inscrit:
    20 Avril 2007
    Messages:
    319
    J'aime reçus:
    0
    Ben l'iup est française (orange) navigateur IE, faudrait que je consulte les logs pour voir effectivement.

    JE me disais que cette variable dirait peut etre quelque chose a quelqun.
     
  7. Leonick
    Leonick WRInaute accro
    Inscrit:
    8 Août 2004
    Messages:
    22 709
    J'aime reçus:
    0
    as-tu cherché dans gg ? http://www.google.fr/search?q=bseuri&ie=utf-8&oe=utf-8&aq=t&rls=org.mo ... =firefox-a visiblement ça ressemble à ce que je disais, du js, mais qui tenterais d'exploiter des failles dans des formulaires, donc pas bon du tout. Il risque de falloir vérifier sur ton ftp si rien n'a été ajouté comme script
     
  8. johnny-57
    johnny-57 WRInaute occasionnel
    Inscrit:
    20 Avril 2007
    Messages:
    319
    J'aime reçus:
    0
    Bon j'ai trouvé le coupable je pense, un script d'une regie pub utilise cette variable. MAintenant, pourquoi ça a bugué comme ça mystère.
     
  9. johnny-57
    johnny-57 WRInaute occasionnel
    Inscrit:
    20 Avril 2007
    Messages:
    319
    J'aime reçus:
    0
    Tiens, les bizarreries continues, deux autre url bizards demandé et donnée en 404 :

    /MSOffice/cltreq.asp?UL=1&ACT=4&BUILD=4518&STRMVER=4&CAPREQ=0

    /_vti_bin/owssvr.dll?UL=1&ACT=4&BUILD=4518&STRMVER=4&CAPREQ=0

    Au final je me demande si il n'y a pas réellement tentative de hack...
     
  10. Leonick
    Leonick WRInaute accro
    Inscrit:
    8 Août 2004
    Messages:
    22 709
    J'aime reçus:
    0
    ces 2 là je les ai très souvent dans mes logs
     
  11. johnny-57
    johnny-57 WRInaute occasionnel
    Inscrit:
    20 Avril 2007
    Messages:
    319
    J'aime reçus:
    0
    Pour ses deux dernières urls l'user agent est surprenant quand même :

    Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; GTB5; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727; InfoPath.2; .NET CLR 3.0.04506.30; MEGAUPLOAD 3.0)
     
  12. Dan_A
    Dan_A WRInaute discret
    Inscrit:
    21 Décembre 2005
    Messages:
    196
    J'aime reçus:
    0
    Si j'ai de bons souvenirs, c'est frontpage qui génère ce genre de requêtes.
    A titre personnel, j'ai deux fichiers vides (/MSOffice/cltreq.asp et /_vti_bin/owssvr.dll) pour chaque site afin d'éviter de polluer les logs.
     
  13. Leonick
    Leonick WRInaute accro
    Inscrit:
    8 Août 2004
    Messages:
    22 709
    J'aime reçus:
    0
    tu les pollues quand même tes logs, c'est juste les logs d'erreurs qi ne sont pas pollués
     
  14. johnny-57
    johnny-57 WRInaute occasionnel
    Inscrit:
    20 Avril 2007
    Messages:
    319
    J'aime reçus:
    0
    Effectivement c'est juste déplacer le problème. Ce qui le surprend c'est que quelqun cherche ses fichiers sur le serveur et qu'il a pour user agent megaupload.
     
  15. Leonick
    Leonick WRInaute accro
    Inscrit:
    8 Août 2004
    Messages:
    22 709
    J'aime reçus:
    0