Stagefright - 利用? - 对相同文件的重复请求
Stagefright - Exploit? - recurring requests for same files
我从 useragent "stagefright" 收到以下请求,请求 web 文件夹中的一些 mp3 文件,IP 恰好是唯一的,但文件名总是重复(请求大约 15 个文件),而且这些大部分来自旧 Android 版本的设备,但现在我也注意到 Android 10。
我已经阻止了对用户代理的访问 "stagefright" using.htaccess 但是当它引起我的注意时它已经消耗了大量的带宽,我并没有被它打扰,因为它 returns 403 但是有人可以解释一下这些类型的请求吗?这已经持续了一年多,并且仅对 MP3 文件请求是独一无二的。
此外,同一 file/s 多次在一秒钟内出现大量请求。请参阅下面的日志摘录。
84.65.126.81 - - [23/Apr/2020:15:53:37 +0400] "GET /xxx.mp3 HTTP/1.1" 403 221 "-" "stagefright/1.2 (Linux;Android 10)"
47.184.9.3 - - [23/Apr/2020:15:53:37 +0400] "GET /xxx.mp3 HTTP/1.1" 403 227 "-" "stagefright/1.2 (Linux;Android 8.1.0)"
73.90.23.108 - - [23/Apr/2020:15:53:37 +0400] "GET /SS007.mp3 HTTP/1.1" 403 227 "-" "Samsung SM-T350 stagefright/Beyonce/1.1.9 (Linux;Android 7.1.1)"
47.184.9.3 - - [23/Apr/2020:15:53:37 +0400] "GET /SS043.mp3 HTTP/1.1" 403 227 "-" "stagefright/1.2 (Linux;Android 8.1.0)"
84.65.126.81 - - [23/Apr/2020:15:53:37 +0400] "GET /yyy.mp3 HTTP/1.1" 403 221 "-" "stagefright/1.2 (Linux;Android 10)"
84.65.126.81 - - [23/Apr/2020:15:53:37 +0400] "GET /yyy.mp3 HTTP/1.1" 403 221 "-" "stagefright/1.2 (Linux;Android 10)"
47.184.9.3 - - [23/Apr/2020:15:53:37 +0400] "GET /SS043.mp3 HTTP/1.1" 403 227 "-" "stagefright/1.2 (Linux;Android 8.1.0)"
73.90.23.108 - - [23/Apr/2020:15:53:38 +0400] "GET /SS007.mp3 HTTP/1.1" 403 227 "-" "Samsung SM-T350 stagefright/Beyonce/1.1.9 (Linux;Android 7.1.1)"
84.65.126.81 - - [23/Apr/2020:15:53:38 +0400] "GET /yyy.mp3 HTTP/1.1" 403 221 "-" "stagefright/1.2 (Linux;Android 10)"
47.184.9.3 - - [23/Apr/2020:15:53:38 +0400] "GET /SS043.mp3 HTTP/1.1" 403 227 "-" "stagefright/1.2 (Linux;Android 8.1.0)"
84.65.126.81 - - [23/Apr/2020:15:53:38 +0400] "GET /yyy.mp3 HTTP/1.1" 403 221 "-" "stagefright/1.2 (Linux;Android 10)"
47.184.9.3 - - [23/Apr/2020:15:53:38 +0400] "GET /SS043.mp3 HTTP/1.1" 403 227 "-" "stagefright/1.2 (Linux;Android 8.1.0)"
84.65.126.81 - - [23/Apr/2020:15:53:38 +0400] "GET /yyy.mp3 HTTP/1.1" 403 221 "-" "stagefright/1.2 (Linux;Android 10)"
84.65.126.81 - - [23/Apr/2020:15:53:38 +0400] "GET /yyy.mp3 HTTP/1.1" 403 221 "-" "stagefright/1.2 (Linux;Android 10)"
73.90.23.108 - - [23/Apr/2020:15:53:38 +0400] "GET /SS007.mp3 HTTP/1.1" 403 227 "-" "Samsung SM-T350 stagefright/Beyonce/1.1.9 (Linux;Android 7.1.1)"
47.184.9.3 - - [23/Apr/2020:15:53:38 +0400] "GET /SS043.mp3 HTTP/1.1" 403 227 "-" "stagefright/1.2 (Linux;Android 8.1.0)"
47.184.9.3 - - [23/Apr/2020:15:53:39 +0400] "GET /SS043.mp3 HTTP/1.1" 403 227 "-" "stagefright/1.2 (Linux;Android 8.1.0)"
84.65.126.81 - - [23/Apr/2020:15:53:39 +0400] "GET /yyy.mp3 HTTP/1.1" 403 221 "-" "stagefright/1.2 (Linux;Android 10)"
84.65.126.81 - - [23/Apr/2020:15:53:39 +0400] "GET /yyy.mp3 HTTP/1.1" 403 221 "-" "stagefright/1.2 (Linux;Android 10)"
73.90.23.108 - - [23/Apr/2020:15:53:39 +0400] "GET /SS007.mp3 HTTP/1.1" 403 227 "-" "Samsung SM-T350 stagefright/Beyonce/1.1.9 (Linux;Android 7.1.1)"
无法找到此传入流量的根本原因,但使用 ModSecurity 在 user-agent
中使用 stagefright 阻止了所有流量
我在调试 HTML5 播放器元素的音频服务时遇到了这个怯场请求。这不是攻击,这是 Chrome 为 Android 故意创建的请求。此外,不要将其与 Stagefright bug.
混淆
根据 this site 和其他来源:
This user agent belongs to stagefright. This Multimedia Player run on
Android and it renders web contents with WebKit on general Mobile
Phone.
我可以确认,每当 Chrome-Android 浏览器尝试预加载、读取元数据或播放嵌入式 HTML5 标签中的音频时,浏览器都会发出二次请求使用这个模糊的 stagefright/1.2 用户代理的文件。该请求不包括您的会话 cookie,因此您无法检查用户是否使用传统 cookie 凭据登录。
如果您的服务器阻止请求(通过发送非 HTTP 200 响应代码),Chrome 会继续存在并重新发送 stagefright/1.2 请求每隔几秒几十次,直到它最终放弃。这种 类似恶意软件的行为 来自 Google Chrome for Android,事实上的通用浏览器每天预装和运送到无数 Android 设备中。
整个 stagefright 请求非常晦涩,关于它的文档等于 NULL。如果有人可以向 Google/Android 开发人员 的 官方文档提供 link,那就太好了。
正如甘道夫所说:问题。需要回答的问题:
- 为什么要发送这个伪造的用户代理而不是真实的用户代理?
- 它期望收到什么?
- 为什么它甚至不包含会话 cookie?
- 为什么在“开发人员工具网络”选项卡中隐藏了请求?你根本找不到那里。
我只能得出结论,在您的情况下,有人只是试图使用嵌入式 HTML5 音频标签 从其他网站提供您的 MP3 文件。由于您的阻止策略,这对 Chrome 用户失败,但它(肯定)在其余浏览器上成功。
我从 useragent "stagefright" 收到以下请求,请求 web 文件夹中的一些 mp3 文件,IP 恰好是唯一的,但文件名总是重复(请求大约 15 个文件),而且这些大部分来自旧 Android 版本的设备,但现在我也注意到 Android 10。
我已经阻止了对用户代理的访问 "stagefright" using.htaccess 但是当它引起我的注意时它已经消耗了大量的带宽,我并没有被它打扰,因为它 returns 403 但是有人可以解释一下这些类型的请求吗?这已经持续了一年多,并且仅对 MP3 文件请求是独一无二的。
此外,同一 file/s 多次在一秒钟内出现大量请求。请参阅下面的日志摘录。
84.65.126.81 - - [23/Apr/2020:15:53:37 +0400] "GET /xxx.mp3 HTTP/1.1" 403 221 "-" "stagefright/1.2 (Linux;Android 10)"
47.184.9.3 - - [23/Apr/2020:15:53:37 +0400] "GET /xxx.mp3 HTTP/1.1" 403 227 "-" "stagefright/1.2 (Linux;Android 8.1.0)"
73.90.23.108 - - [23/Apr/2020:15:53:37 +0400] "GET /SS007.mp3 HTTP/1.1" 403 227 "-" "Samsung SM-T350 stagefright/Beyonce/1.1.9 (Linux;Android 7.1.1)"
47.184.9.3 - - [23/Apr/2020:15:53:37 +0400] "GET /SS043.mp3 HTTP/1.1" 403 227 "-" "stagefright/1.2 (Linux;Android 8.1.0)"
84.65.126.81 - - [23/Apr/2020:15:53:37 +0400] "GET /yyy.mp3 HTTP/1.1" 403 221 "-" "stagefright/1.2 (Linux;Android 10)"
84.65.126.81 - - [23/Apr/2020:15:53:37 +0400] "GET /yyy.mp3 HTTP/1.1" 403 221 "-" "stagefright/1.2 (Linux;Android 10)"
47.184.9.3 - - [23/Apr/2020:15:53:37 +0400] "GET /SS043.mp3 HTTP/1.1" 403 227 "-" "stagefright/1.2 (Linux;Android 8.1.0)"
73.90.23.108 - - [23/Apr/2020:15:53:38 +0400] "GET /SS007.mp3 HTTP/1.1" 403 227 "-" "Samsung SM-T350 stagefright/Beyonce/1.1.9 (Linux;Android 7.1.1)"
84.65.126.81 - - [23/Apr/2020:15:53:38 +0400] "GET /yyy.mp3 HTTP/1.1" 403 221 "-" "stagefright/1.2 (Linux;Android 10)"
47.184.9.3 - - [23/Apr/2020:15:53:38 +0400] "GET /SS043.mp3 HTTP/1.1" 403 227 "-" "stagefright/1.2 (Linux;Android 8.1.0)"
84.65.126.81 - - [23/Apr/2020:15:53:38 +0400] "GET /yyy.mp3 HTTP/1.1" 403 221 "-" "stagefright/1.2 (Linux;Android 10)"
47.184.9.3 - - [23/Apr/2020:15:53:38 +0400] "GET /SS043.mp3 HTTP/1.1" 403 227 "-" "stagefright/1.2 (Linux;Android 8.1.0)"
84.65.126.81 - - [23/Apr/2020:15:53:38 +0400] "GET /yyy.mp3 HTTP/1.1" 403 221 "-" "stagefright/1.2 (Linux;Android 10)"
84.65.126.81 - - [23/Apr/2020:15:53:38 +0400] "GET /yyy.mp3 HTTP/1.1" 403 221 "-" "stagefright/1.2 (Linux;Android 10)"
73.90.23.108 - - [23/Apr/2020:15:53:38 +0400] "GET /SS007.mp3 HTTP/1.1" 403 227 "-" "Samsung SM-T350 stagefright/Beyonce/1.1.9 (Linux;Android 7.1.1)"
47.184.9.3 - - [23/Apr/2020:15:53:38 +0400] "GET /SS043.mp3 HTTP/1.1" 403 227 "-" "stagefright/1.2 (Linux;Android 8.1.0)"
47.184.9.3 - - [23/Apr/2020:15:53:39 +0400] "GET /SS043.mp3 HTTP/1.1" 403 227 "-" "stagefright/1.2 (Linux;Android 8.1.0)"
84.65.126.81 - - [23/Apr/2020:15:53:39 +0400] "GET /yyy.mp3 HTTP/1.1" 403 221 "-" "stagefright/1.2 (Linux;Android 10)"
84.65.126.81 - - [23/Apr/2020:15:53:39 +0400] "GET /yyy.mp3 HTTP/1.1" 403 221 "-" "stagefright/1.2 (Linux;Android 10)"
73.90.23.108 - - [23/Apr/2020:15:53:39 +0400] "GET /SS007.mp3 HTTP/1.1" 403 227 "-" "Samsung SM-T350 stagefright/Beyonce/1.1.9 (Linux;Android 7.1.1)"
无法找到此传入流量的根本原因,但使用 ModSecurity 在 user-agent
中使用 stagefright 阻止了所有流量我在调试 HTML5 播放器元素的音频服务时遇到了这个怯场请求。这不是攻击,这是 Chrome 为 Android 故意创建的请求。此外,不要将其与 Stagefright bug.
混淆根据 this site 和其他来源:
This user agent belongs to stagefright. This Multimedia Player run on Android and it renders web contents with WebKit on general Mobile Phone.
我可以确认,每当 Chrome-Android 浏览器尝试预加载、读取元数据或播放嵌入式 HTML5 标签中的音频时,浏览器都会发出二次请求使用这个模糊的 stagefright/1.2 用户代理的文件。该请求不包括您的会话 cookie,因此您无法检查用户是否使用传统 cookie 凭据登录。
如果您的服务器阻止请求(通过发送非 HTTP 200 响应代码),Chrome 会继续存在并重新发送 stagefright/1.2 请求每隔几秒几十次,直到它最终放弃。这种 类似恶意软件的行为 来自 Google Chrome for Android,事实上的通用浏览器每天预装和运送到无数 Android 设备中。
整个 stagefright 请求非常晦涩,关于它的文档等于 NULL。如果有人可以向 Google/Android 开发人员 的 官方文档提供 link,那就太好了。
正如甘道夫所说:问题。需要回答的问题:
- 为什么要发送这个伪造的用户代理而不是真实的用户代理?
- 它期望收到什么?
- 为什么它甚至不包含会话 cookie?
- 为什么在“开发人员工具网络”选项卡中隐藏了请求?你根本找不到那里。
我只能得出结论,在您的情况下,有人只是试图使用嵌入式 HTML5 音频标签 从其他网站提供您的 MP3 文件。由于您的阻止策略,这对 Chrome 用户失败,但它(肯定)在其余浏览器上成功。