Пользовательский агент, который говорит просто “Mozilla / 4.0”, - это бот, верно?

Question

Я получаю несколько запросов в веб-приложениях, которые в основном неверны в том смысле, что мой код не должен генерироваться...В основном это запросы к .ashx без каких-либо заданных параметров GET.

Пользовательский агент - "Mozilla / 4.0" (не более того) IP-адреса меняются изо дня в день.

Это бот, верно?

Спасибо!

Answer 1

Мне это кажется очень странным.Любой законный бот идентифицировал бы себя способом, который вы можете распознать.Любой вредоносный бот смог бы гораздо лучше выполнить работу, сделав пользовательский агент похожим на обычный браузер.Это где-то посередине.Это, в сочетании с плохими запросами, наводит меня на мысль, что вы имеете дело с обычной некомпетентностью.

В любом случае, вы, вероятно, захотите выполнить 404 этих запроса, а не возвращать ошибку желтого экрана.

Answer 2

Извините, что поднимаю старый вопрос, но я думаю, что это бот, используемый Великим китайским брандмауэром.Они сканируют веб-контент и осуществляют свою цензуру.

Проверьте свой журнал и посмотрите, есть ли там что-нибудь вроде 'GET /cert/bazs.cert'.

уверен на 100%, что это будет найдено.

Answer 3

Согласно http://www.user-agents.org мышление "Yahoo ":Бот "целенаправленный поиск" сообщает об этом.

Но да, это был бы не браузер, сообщающий об этом.

Answer 4

Это запросы к существующим страницам, которые вы написали сами, или они получают 404?

В последнем случае это может быть своего рода сканирующая атака, пытающаяся обнаружить уязвимые экземпляры приложений, прежде чем поразить их эксплойтом.

Answer 5

Я внедрил asp.net отслеживание побочных запросов на нескольких веб-сайтах, и, просмотрев записи, я могу сказать, что по любой из этих причин может быть создан только пользовательский агент "Mozilla / 4.0":

• некомпетентность
• поисковые роботы
• атакующие боты

Интересно, что мой первый Android был идентифицирован как "Safari 3.0", последний Android идентифицирован как "Mozilla 0"!Поэтому трудно указать на некомпетентность конкретного поколения программного обеспечения.

Возврат 404 по каждому такому запросу, возможно, был бы не лучшим подходом для поисковых роботов, особенно если это общедоступный веб-сайт с частой сменой контента.

С другой стороны, вы должны знать, что запросы на WebResource.axd недопустимые места назначения указывают на атаки с использованием межсайтовых скриптов.В таких ситуациях рекомендуется использовать дезинфицирующее средство.Вы можете прочитать больше об этом типе атаки на Межсайтовое_скриптирование.

Еще одна полезная вещь для выявления атак - просмотр файлов журналов IIS, которые обычно располагаются в [корне системы]:\inetpub\logs\LogFiles\W3SVC1.Вот фрагмент из моего инструмента для анализа файлов журналов IIS:

В этом случае пользовательский агент не был проблемой, атака ботом была идентифицирована по запросу "/dbadmin/index.php" с 2 разных IP-адресов.Есть пара файлов / страниц, которые ищут атакующие боты.

Надеюсь, это поможет и придаст дополнительную ценность этому вопросу.