Je suis en train de subir une attaque d’un de mes sites web via des URL en RS=ADA.
A des URL valides sont ajoutées une chaine de caractères mystérieux commençant par RS=ADA ce qui donne des requêtes du type:
http://monurl/undemesposts/RS=ADAXXXXXXXXXXXXX
Pour le moment tout tombe en erreur 404 mais j’avoue que ce genre de choses ne laisse pas tout à fait serein (d’autant plus que ça spamme mes logs).
Les IP par lesquelles ses requêtes arrivent sont variables via des applications clientes qui sembleraient correctes, du style:
Mozilla/5.0 (Macintosh; Intel Mac OS X 10.8; rv:22.0) Gecko/20100101 Firefox/22.0
Il semble donc qu’un botnet pas trop mal gaulé s’échine à me spammer ou à tenter de hacker mon modeste blog.
Une attaque qui ressemble comme deux gouttes d’eau à celle en //RS=^ADA dont a été victime un autre site (à lire ici en anglais).
Il semblerait que l’attaque soit ciblé vers un module java JAX-RS que je n’ai pas mais je pense mettre en place une redirection sur ses URL au cas où…