Специалисты по защите сайтов из компании Sucuri обратили внимание на необычный случай. Несколько дней назад в логах одного клиента была обнаружена запись.
66.249.66.138 - - [05/Nov/2013:00:28:40 -0500] "GET /url.php?variable=")%20declare%20@q%
20varchar(8000(%20select%20@q%20=%200x527%20exec(@q)%20-- HTTP/1.1" 403 4439 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
Как видим, здесь кто-то пытается осуществить SQL-инъекцию, причем по-хитрому вставляя в user-agent подпись поискового бота Google.
Эксперты сначала думали, что такая хитрость сделана для маскировки, но затем они определили, что IP-адрес бота действительно принадлежит к диапазону адресов компании Google.
$ host 66.249.66.138
138.66.249.66.in-addr.arpa domain name pointer crawl-66-249-66-138.googlebot.com.
NetRange: 66.249.64.0 - 66.249.95.255
CIDR: 66.249.64.0/19
OriginAS:
NetName: GOOGLE
То есть это действительно самый настоящий Googlebot. Почему же он пытался совершить атаку?
Объяснение простое. Кто по какой-то причине вставил вредоносный код на своем сайте, а бот Google честно пошел по этой ссылке, пытаясь проиндексировать новую страницу — и без всякой задней мысли выполнил вышеупомянутый GET-запрос.
Специалисты из Sucuri уже уведомили компанию Google о некорректном поведении бота. Они также задаются вопросом: может ли кто-то использовать такую особенность Googlebot во вредоносных целях?