Подскажите что за непонятные заявки пошли?

тоже идут запросы в user agent, подставляет

<?php eval(chr(100).chr(105).chr(101).chr(40).chr(39).chr(49).chr(55).chr(73).chr(53).chr(51).chr(48).chr(86).chr(65).chr(117).chr(52).chr(39).chr(41).chr(59)); ?>

и в GET параметры подставляет

<?php+eval(chr(100).chr(105).chr(101).chr(40).chr(39).chr(49).chr(55).chr(73).chr(53).chr(51).chr(48).chr(86).chr(65).chr(117).chr(52).chr(39).chr(41).chr(59));+?>

так и не понял что этот код делает, первый код после выполнения выдает "17I530VAu4" и что он им дает???

Это проверка. Если верстка полученной страницы сильно отличается или вообще не отдалась - это выполнилась функция die . Значит можно исполнять другой код php. Вот то, что будут выполнять потом может уже навредить конкретнее.

Это поиск RCE уязвимости. Если при выполнении запроса в результирующей странице будет "17I530VAu4", значит код успешно выполнился и уязвимость присутствует. И вместо безобидного echo "...." начнут засылать что-нибудь недоброе (эксплуатировать уязвимость).

netwind, gregzem, спасибо за ответы, буду теперь знать и вовремя реагировать если что)

Не надо реагировать - такое надо отстреливать на подлёте.

Такие же запросы недавно обнаружились:

IP TimeWeb'а:

Тоже с недавних пор на один сайт начало такое приходить раз в несколько дней через форму быстрого заказа:

agrofish{${eval(chr(100).chr(105).chr(101).chr(40).chr(39).chr(49).chr(55).chr(73).chr(53).chr(51).chr(48).chr(86).chr(65).chr(117).chr(52).chr(39).chr(41).chr(59))}}

Только с другого IP: 91.201.52.58

Предлагаю как я набисать абузы хостерам на соответствующие инциденты с просьбой закрыть такие аккаунты.

Указываются: Время+Дата инцидента, IP абузера, сам запрос и IP вашего хостинга/сайт

Хотя мне такой хостер (SWEB) ответил - "будем выяснять и если потребуется свяжемся с вами".

Кстати, раз пошла такая пьянка, может у кого затесались рекомендуемые XSS-clearing функции?

Мне кажется что жаловаться хостерам это пустая трата времени. Типа если его выпрут из хостинга он перестанет этим заниматься и пойдет работать на завод? Он просто найдет другой хостинг, абузоустойчивый, или купит прокси за пару долларов.

Лучше потратить это время на безопасность своего сайта и по закрывать возможные дыры.

Если злоумышленники обращаются к конкретным файлам, поставьте ВЫ ТЗ, скиньте этот код админу / программеру сайта, лучше хорошему знакомому).

и поставьте ТЗ:

Вмонтировать в header (шапку) сайта или index, первой строкой проверку на то, что указано в Юзер-Агенте $_SERVER["HTTP_USER_AGENT"] или там куда это код пытаются вписать.

И если в Юзер-Агенте есть eval или chr, это делается по preg_match например, то выключаем наш скрипт сайта вообще делая die; либо показываем пустую страницу, либо редиректим куда угодно (это уже на собственное усмотрение).

+если preg_match поймал запрещённое сочетание символов, то логируем все данные в текстовой файл, например log_hack.txt:

IP того кто это делает: $_SERVER["REMOTE_ADDR"]

URL которое запрашивает: $_SERVER["REQUEST_URI"]

Реферер, откуда пришли: $_SERVER["HTTP_REFERER"]

Юзер-агент: $_SERVER["HTTP_USER_AGENT"]

Так можно будет посмотреть конкретно кто делал подозрительные вещи, и делали ли вообще такое.

Можно и на уровне htaccess сделать блокировку.

Писать абузы бесполезно, потому что IP злоумышленника может быть динамический (всегда разный), у меня и многих провайдеров именно так, переключаешься и у тебя уже другой IP, поэтому под блокировку IP могут попасть и нормальные пользователи. То есть нужно смотреть конкретно что за IP и не какие-нибудь ли это Португальские прокси, тогда конечно можно блокировать.