Alguien hizo algunas solicitudes wp wlwmanifest.xml http, pero ¿por qué?

3 minutos de lectura

Una pregunta curiosa esta vez. Alguien acaba de realizar las siguientes solicitudes HTTP a mi servidor:

127.0.0.1 - - [02/Jun/2021 15:28:00] "GET //wp-includes/wlwmanifest.xml HTTP/1.0" 404 -
127.0.0.1 - - [02/Jun/2021 15:28:00] "GET //xmlrpc.php?rsd HTTP/1.0" 404 -
127.0.0.1 - - [02/Jun/2021 15:28:00] "GET / HTTP/1.0" 200 -
127.0.0.1 - - [02/Jun/2021 15:28:00] "GET //blog/wp-includes/wlwmanifest.xml HTTP/1.0" 404 -
127.0.0.1 - - [02/Jun/2021 15:28:00] "GET //web/wp-includes/wlwmanifest.xml HTTP/1.0" 404 -
127.0.0.1 - - [02/Jun/2021 15:28:01] "GET //wordpress/wp-includes/wlwmanifest.xml HTTP/1.0" 404 -
127.0.0.1 - - [02/Jun/2021 15:28:01] "GET //website/wp-includes/wlwmanifest.xml HTTP/1.0" 404 -
127.0.0.1 - - [02/Jun/2021 15:28:01] "GET //wp/wp-includes/wlwmanifest.xml HTTP/1.0" 404 -
127.0.0.1 - - [02/Jun/2021 15:28:01] "GET //news/wp-includes/wlwmanifest.xml HTTP/1.0" 404 -
127.0.0.1 - - [02/Jun/2021 15:28:01] "GET //2018/wp-includes/wlwmanifest.xml HTTP/1.0" 404 -
127.0.0.1 - - [02/Jun/2021 15:28:01] "GET //2019/wp-includes/wlwmanifest.xml HTTP/1.0" 404 -
127.0.0.1 - - [02/Jun/2021 15:28:01] "GET //shop/wp-includes/wlwmanifest.xml HTTP/1.0" 404 -
127.0.0.1 - - [02/Jun/2021 15:28:01] "GET //wp1/wp-includes/wlwmanifest.xml HTTP/1.0" 404 -
127.0.0.1 - - [02/Jun/2021 15:28:01] "GET //test/wp-includes/wlwmanifest.xml HTTP/1.0" 404 -
127.0.0.1 - - [02/Jun/2021 15:28:01] "GET //media/wp-includes/wlwmanifest.xml HTTP/1.0" 404 -
127.0.0.1 - - [02/Jun/2021 15:28:01] "GET //wp2/wp-includes/wlwmanifest.xml HTTP/1.0" 404 -
127.0.0.1 - - [02/Jun/2021 15:28:01] "GET //site/wp-includes/wlwmanifest.xml HTTP/1.0" 404 -
127.0.0.1 - - [02/Jun/2021 15:28:02] "GET //cms/wp-includes/wlwmanifest.xml HTTP/1.0" 404 -
127.0.0.1 - - [02/Jun/2021 15:28:02] "GET //sito/wp-includes/wlwmanifest.xml HTTP/1.0" 404 -

Alguien tiene alguna idea de por qué alguien intentaría esto. Sé que tiene algo que ver con WordPress (que no uso/no tengo instalado de todos modos) Pero todavía me pregunto por qué alguien intentaría hacer estas solicitudes.

Muchas gracias, Jules

PD El servidor dice que viene de localhost pero eso es porque pasa por Nginx

  • Solo tráfico estándar de bots en Internet. Un obsequio, además de las URL conocidas, es que están usando HTTP/1.0, que en estos días es prácticamente solo para bots. ¿Por qué alguien incluso molestando con eso? En su mayoría, como bots de script-kiddie que solo tienen una lista de pruebas que nunca se eliminan. Tienen todas las hazañas de los últimos 25 años y realmente no les duele probarlas todas, y tampoco saben realmente lo que están haciendo, así que simplemente prueban todo.

    –Chris Haas

    3 de junio de 2021 a las 1:25

Esto es un lugar común. Hoy en día, más del 40 % del tráfico mundial de Internet son bots y el 25 % son bots maliciosos. Son solo bots que buscan constantemente posibles fallas de seguridad en tantos dominios indexados como sea posible para comprometer el sitio. Existen herramientas que pueden ayudarlo a detectar estas solicitudes y tomar medidas. Por ejemplo fail2ban.

Recibí la misma solicitud también hoy, no se instaló WordPress. Supongo que es una especie de escáner. Consulta por múltiples ubicaciones

/wp2/wp-includes/wlwmanifest.xml
/site/wp-includes/wlwmanifest.xml
/cms/wp-includes/wlwmanifest.xml
/sito/wp-includes/wlwmanifest.xml
/shop/wp-includes/wlwmanifest.xml
/xmlrpc.php

etc.

fue consultado desde múltiples ubicaciones. Singapur, Estados Unidos, Sudáfrica, Australia, India. Y esto durante todo el día, y cambiando la ubicación después de cada ronda de exploración. No debería suponer nada malo, pero tampoco coincide con el patrón de algo como dirbuster/gobuster.

agente de usuario es siempre:
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.149 Safari/537.36

También recibí algunas consultas que se ven diferentes del mismo agente de usuario:

/aaa9
/aad7

¿algo preocupante, o solo los bots son bots?

¿Ha sido útil esta solución?