我注意到每天记录的事件数量大幅增加,其中包含& hash = 。请求的URL每次都相同,但& hash = 后面的数字总是不同。
我不知道& hash = 参数的用途是什么,所以我不确定这些尝试是恶意的还是其他的。任何人都可以提供有关所请求的URL尝试内容的见解吗?我从最近的一个日志中复制了一个。
https://www.movinglabor.com:443/moving-services/moving-labor/move-furniture/&du=https:/www.movinglabor.com/moving-services/moving-labor/move.../&hash=AFD3C9508211E3F234B4A265B3EF7E3F
答案 0 :(得分:1)
我在Windows Server 2012 R2上的IIS中看到了同样的事情。他们主要是HEAD请求。我确实从同一个ip地址看到了一些其他更明显的攻击尝试,所以我假设du / hash事件也是恶意的。
以下是另一个尝试的示例,该尝试还尝试使用某些网址编码来绕过过滤器:
part_id=D8DD67F9S8DF79S8D7F9D9D%5C&du=https://www.examplesite.com/page..asp%5C?part...%5C&hash=DA54E35B7D77F7137E|-|0|404_Not_Found
因此,您可能希望查看IIS日志以查看是否正在尝试其他操作。 最后,我只是使用IIS的Url Rewrite扩展名为它创建了一个阻止规则。