来自俄罗斯的奇怪编码字符
Weird encoded characters coming from Russia
我们发现很多奇怪的编码字符出现在我们的日志报告中,主要来自俄罗斯。这可能只是一种恶意发送垃圾邮件的机器人或爬虫程序吗?
我已经尝试 google 但没有多大帮助。有没有人遇到过类似的情况?
"SearchWithinKWs": [
"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"
]
25 是 % 的 ascii 值,所以我最初的猜测是这些是自动机器人试图根据发送大量 %%%%%%%%<char> 请求来触发错误 to attempt to expose encoding / escaping errors -在前端或后端。
但重复使用 %25 也可能意味着这个记录的字符串只是简单地通过许多服务,这些服务都进行自己的转义,然后被丢弃在某个地方。
因为(几乎)每个字符包含相同数量的转义字符:
2525252525252525252525d0
252525252525252525252596
2525252525252525252525d0
2525252525252525252525b8
2525252525252525252525d0
2525252525252525252525b4
2525252525252525252525d0
2525252525252525252525ba
2525252525252525252525d0
2525252525252525252525be
2525252525252525252525d0
2525252525252525252525b5
252525252525252525252b
2525252525252525252525d0
2525252525252525252525bc
2525252525252525252525d1
25252525252525252525258b
2525252525252525252525d0
2525252525252525252525bb
2525252525252525252525d0
2525252525252525252525be
2525252525252525252525bb
2525252525252525252525d0
突出的单个值是 0x2b,它代表 '+' - 反过来用于转义 space。
如果我们忽略所有 25 值,它们可能是多层 % 编码和丢失的,我们最终会得到一些看起来类似于 UTF-8 字符的东西(重复的 d0 是一个很好的提示)。我们可以将 python 中的字节解码为 UTF-8,看看我们是否得到任何有用的东西:
>>> b"\xd0\x96\xd0\xb8\xd0\xb4\xd0\xba\xd0\xbe\xd0\xb5 \xd0\xbc\xd1\x8b\xd0\xbb\xd0\xbe\xd0\xbb".decode("utf-8")
'Жидкое мылол'
由于我对俄语一无所知,所以我 used Google Translate 至少可以得到一些提示。 Google translate 告诉我这是对 Liquid Soap 的查询。洗涤剂?
这是否是恶意的取决于上下文,以及所有这些 % 编码失效的地方。
我们发现很多奇怪的编码字符出现在我们的日志报告中,主要来自俄罗斯。这可能只是一种恶意发送垃圾邮件的机器人或爬虫程序吗?
我已经尝试 google 但没有多大帮助。有没有人遇到过类似的情况?
"SearchWithinKWs": [
"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"
]
25 是 % 的 ascii 值,所以我最初的猜测是这些是自动机器人试图根据发送大量 %%%%%%%%<char> 请求来触发错误 to attempt to expose encoding / escaping errors -在前端或后端。
但重复使用 %25 也可能意味着这个记录的字符串只是简单地通过许多服务,这些服务都进行自己的转义,然后被丢弃在某个地方。
因为(几乎)每个字符包含相同数量的转义字符:
2525252525252525252525d0
252525252525252525252596
2525252525252525252525d0
2525252525252525252525b8
2525252525252525252525d0
2525252525252525252525b4
2525252525252525252525d0
2525252525252525252525ba
2525252525252525252525d0
2525252525252525252525be
2525252525252525252525d0
2525252525252525252525b5
252525252525252525252b
2525252525252525252525d0
2525252525252525252525bc
2525252525252525252525d1
25252525252525252525258b
2525252525252525252525d0
2525252525252525252525bb
2525252525252525252525d0
2525252525252525252525be
2525252525252525252525bb
2525252525252525252525d0
突出的单个值是 0x2b,它代表 '+' - 反过来用于转义 space。
如果我们忽略所有 25 值,它们可能是多层 % 编码和丢失的,我们最终会得到一些看起来类似于 UTF-8 字符的东西(重复的 d0 是一个很好的提示)。我们可以将 python 中的字节解码为 UTF-8,看看我们是否得到任何有用的东西:
>>> b"\xd0\x96\xd0\xb8\xd0\xb4\xd0\xba\xd0\xbe\xd0\xb5 \xd0\xbc\xd1\x8b\xd0\xbb\xd0\xbe\xd0\xbb".decode("utf-8")
'Жидкое мылол'
由于我对俄语一无所知,所以我 used Google Translate 至少可以得到一些提示。 Google translate 告诉我这是对 Liquid Soap 的查询。洗涤剂?
这是否是恶意的取决于上下文,以及所有这些 % 编码失效的地方。