Android 舞台灯光-利用对相同文件的重复请求
我从useragent“stagefright”收到以下请求,请求webfolder中的一些mp3文件,IP碰巧是唯一的,但文件名总是重复(请求了大约15个文件),这些文件大多来自较旧的Android版本设备,但现在我注意到Android 10 我已经用.htaccess阻止了对用户代理“stagefright”的访问,但当它引起我的注意时,它已经消耗了大量带宽,我并不担心它返回403,但有人能解释一下这些类型的请求吗?这已经持续了一年多了,并且仅限于MP3文件请求 此外,对于同一个文件,一秒钟内会有多次突发请求。见下面的日志摘录Android 舞台灯光-利用对相同文件的重复请求,android,apache,malware,exploit,stagefright,Android,Apache,Malware,Exploit,Stagefright,我从useragent“stagefright”收到以下请求,请求webfolder中的一些mp3文件,IP碰巧是唯一的,但文件名总是重复(请求了大约15个文件),这些文件大多来自较旧的Android版本设备,但现在我注意到Android 10 我已经用.htaccess阻止了对用户代理“stagefright”的访问,但当它引起我的注意时,它已经消耗了大量带宽,我并不担心它返回403,但有人能解释一下这些类型的请求吗?这已经持续了一年多了,并且仅限于MP3文件请求 此外,对于同一个文件,一秒钟
84.65.126.81 - - [23/Apr/2020:15:53:37 +0400] "GET /xxx.mp3 HTTP/1.1" 403 221 "-" "stagefright/1.2 (Linux;Android 10)"
47.184.9.3 - - [23/Apr/2020:15:53:37 +0400] "GET /xxx.mp3 HTTP/1.1" 403 227 "-" "stagefright/1.2 (Linux;Android 8.1.0)"
73.90.23.108 - - [23/Apr/2020:15:53:37 +0400] "GET /SS007.mp3 HTTP/1.1" 403 227 "-" "Samsung SM-T350 stagefright/Beyonce/1.1.9 (Linux;Android 7.1.1)"
47.184.9.3 - - [23/Apr/2020:15:53:37 +0400] "GET /SS043.mp3 HTTP/1.1" 403 227 "-" "stagefright/1.2 (Linux;Android 8.1.0)"
84.65.126.81 - - [23/Apr/2020:15:53:37 +0400] "GET /yyy.mp3 HTTP/1.1" 403 221 "-" "stagefright/1.2 (Linux;Android 10)"
84.65.126.81 - - [23/Apr/2020:15:53:37 +0400] "GET /yyy.mp3 HTTP/1.1" 403 221 "-" "stagefright/1.2 (Linux;Android 10)"
47.184.9.3 - - [23/Apr/2020:15:53:37 +0400] "GET /SS043.mp3 HTTP/1.1" 403 227 "-" "stagefright/1.2 (Linux;Android 8.1.0)"
73.90.23.108 - - [23/Apr/2020:15:53:38 +0400] "GET /SS007.mp3 HTTP/1.1" 403 227 "-" "Samsung SM-T350 stagefright/Beyonce/1.1.9 (Linux;Android 7.1.1)"
84.65.126.81 - - [23/Apr/2020:15:53:38 +0400] "GET /yyy.mp3 HTTP/1.1" 403 221 "-" "stagefright/1.2 (Linux;Android 10)"
47.184.9.3 - - [23/Apr/2020:15:53:38 +0400] "GET /SS043.mp3 HTTP/1.1" 403 227 "-" "stagefright/1.2 (Linux;Android 8.1.0)"
84.65.126.81 - - [23/Apr/2020:15:53:38 +0400] "GET /yyy.mp3 HTTP/1.1" 403 221 "-" "stagefright/1.2 (Linux;Android 10)"
47.184.9.3 - - [23/Apr/2020:15:53:38 +0400] "GET /SS043.mp3 HTTP/1.1" 403 227 "-" "stagefright/1.2 (Linux;Android 8.1.0)"
84.65.126.81 - - [23/Apr/2020:15:53:38 +0400] "GET /yyy.mp3 HTTP/1.1" 403 221 "-" "stagefright/1.2 (Linux;Android 10)"
84.65.126.81 - - [23/Apr/2020:15:53:38 +0400] "GET /yyy.mp3 HTTP/1.1" 403 221 "-" "stagefright/1.2 (Linux;Android 10)"
73.90.23.108 - - [23/Apr/2020:15:53:38 +0400] "GET /SS007.mp3 HTTP/1.1" 403 227 "-" "Samsung SM-T350 stagefright/Beyonce/1.1.9 (Linux;Android 7.1.1)"
47.184.9.3 - - [23/Apr/2020:15:53:38 +0400] "GET /SS043.mp3 HTTP/1.1" 403 227 "-" "stagefright/1.2 (Linux;Android 8.1.0)"
47.184.9.3 - - [23/Apr/2020:15:53:39 +0400] "GET /SS043.mp3 HTTP/1.1" 403 227 "-" "stagefright/1.2 (Linux;Android 8.1.0)"
84.65.126.81 - - [23/Apr/2020:15:53:39 +0400] "GET /yyy.mp3 HTTP/1.1" 403 221 "-" "stagefright/1.2 (Linux;Android 10)"
84.65.126.81 - - [23/Apr/2020:15:53:39 +0400] "GET /yyy.mp3 HTTP/1.1" 403 221 "-" "stagefright/1.2 (Linux;Android 10)"
73.90.23.108 - - [23/Apr/2020:15:53:39 +0400] "GET /SS007.mp3 HTTP/1.1" 403 227 "-" "Samsung SM-T350 stagefright/Beyonce/1.1.9 (Linux;Android 7.1.1)"
找不到此传入流量的根本原因,但使用ModSecurity在用户代理中使用stagefright阻止所有流量在调试向HTML5播放器元素提供音频时,我遇到了此stagefright请求。这不是攻击,这是Chrome为Android创建的故意请求。此外,这也不能与 根据国际和其他来源: 此用户代理属于stagefright。这台多媒体播放机在计算机上运行 Android和它在通用移动设备上使用WebKit呈现web内容 电话 我可以确认,每当Chrome Android浏览器尝试预加载、读取元数据或播放嵌入HTML5标记的音频时,浏览器都会使用这个模糊的stagefright/1.2用户代理向文件发出第二次请求。请求不包括您的会话cookie,因此您无法检查用户是否使用传统cookie凭据登录 如果您的服务器阻止请求(通过发送非HTTP 200响应代码),Chrome将持续并每隔几秒钟重新发送stagefright/1.2请求几十次,直到最终放弃。这种类似恶意软件的行为来自于一种事实上的通用浏览器,它每天都预装和运送着数不清的Android设备 整个stagefright请求非常模糊,关于它的文档等于NULL。如果有人能提供一个链接到Google/Android开发者的官方文档,那就太好了 正如甘道夫所说:问题。需要回答的问题:
- 为什么发送这个伪造的用户代理而不是真实的
- 它到底希望得到什么
- 为什么它甚至不包括会话cookie
- 为什么在开发人员工具网络选项卡中隐藏请求?你根本找不到是否有
我只能得出结论,在你的情况下,有人只是试图使用嵌入式HTML5音频标签从其他网站提供你的MP3文件。由于您的阻止策略,这对Chrome用户来说是失败的,但它(肯定)会在其他浏览器上成功。这是一个安全问题,与此无关coding@a_local_nobody我不同意。这与Google Chrome在加载和播放嵌入式MP3文件方面的默认和自然行为有关。不过,这看起来确实像DDOS攻击,我会告诉你的。请检查我的答案,因为这似乎是外部使用托管MP3文件的症状。