Jemand hat einige wp wlwmanifest.xml http-Anfragen gestellt, aber warum?

Lesezeit: 3 Minuten

Diesmal eine kuriose Frage. Jemand hat gerade die folgenden HTTP-Anforderungen an meinen Server gesendet:

127.0.0.1 - - [02/Jun/2021 15:28:00] "GET //wp-includes/wlwmanifest.xml HTTP/1.0" 404 -
127.0.0.1 - - [02/Jun/2021 15:28:00] "GET //xmlrpc.php?rsd HTTP/1.0" 404 -
127.0.0.1 - - [02/Jun/2021 15:28:00] "GET / HTTP/1.0" 200 -
127.0.0.1 - - [02/Jun/2021 15:28:00] "GET //blog/wp-includes/wlwmanifest.xml HTTP/1.0" 404 -
127.0.0.1 - - [02/Jun/2021 15:28:00] "GET //web/wp-includes/wlwmanifest.xml HTTP/1.0" 404 -
127.0.0.1 - - [02/Jun/2021 15:28:01] "GET //wordpress/wp-includes/wlwmanifest.xml HTTP/1.0" 404 -
127.0.0.1 - - [02/Jun/2021 15:28:01] "GET //website/wp-includes/wlwmanifest.xml HTTP/1.0" 404 -
127.0.0.1 - - [02/Jun/2021 15:28:01] "GET //wp/wp-includes/wlwmanifest.xml HTTP/1.0" 404 -
127.0.0.1 - - [02/Jun/2021 15:28:01] "GET //news/wp-includes/wlwmanifest.xml HTTP/1.0" 404 -
127.0.0.1 - - [02/Jun/2021 15:28:01] "GET //2018/wp-includes/wlwmanifest.xml HTTP/1.0" 404 -
127.0.0.1 - - [02/Jun/2021 15:28:01] "GET //2019/wp-includes/wlwmanifest.xml HTTP/1.0" 404 -
127.0.0.1 - - [02/Jun/2021 15:28:01] "GET //shop/wp-includes/wlwmanifest.xml HTTP/1.0" 404 -
127.0.0.1 - - [02/Jun/2021 15:28:01] "GET //wp1/wp-includes/wlwmanifest.xml HTTP/1.0" 404 -
127.0.0.1 - - [02/Jun/2021 15:28:01] "GET //test/wp-includes/wlwmanifest.xml HTTP/1.0" 404 -
127.0.0.1 - - [02/Jun/2021 15:28:01] "GET //media/wp-includes/wlwmanifest.xml HTTP/1.0" 404 -
127.0.0.1 - - [02/Jun/2021 15:28:01] "GET //wp2/wp-includes/wlwmanifest.xml HTTP/1.0" 404 -
127.0.0.1 - - [02/Jun/2021 15:28:01] "GET //site/wp-includes/wlwmanifest.xml HTTP/1.0" 404 -
127.0.0.1 - - [02/Jun/2021 15:28:02] "GET //cms/wp-includes/wlwmanifest.xml HTTP/1.0" 404 -
127.0.0.1 - - [02/Jun/2021 15:28:02] "GET //sito/wp-includes/wlwmanifest.xml HTTP/1.0" 404 -

Jemand eine Ahnung, warum jemand das versuchen würde. Ich weiß, dass es etwas mit WordPress zu tun hat (das ich sowieso nicht verwende/installiert habe), aber ich frage mich immer noch, warum jemand versuchen würde, diese Anfragen zu stellen.

Vielen Dank, Jules

PS Der Server sagt, dass es von localhost kommt, aber das liegt daran, dass es durch Nginx geht

  • Nur normaler Bot-Traffic im Internet. Ein Werbegeschenk neben den bekannten URLs ist, dass sie HTTP/1.0 verwenden, das heutzutage so ziemlich nur Bots ist. Warum ist jemand überhaupt sich damit rumärgern? Meistens wie Skript-Kiddie-Bots, die nur eine Liste von Tests haben, die nie gekürzt werden. Sie haben alle Exploits der letzten 25+ Jahre und es schadet ihnen nicht wirklich, sie alle auszuprobieren, und sie wissen auch nicht wirklich, was sie tun, also probieren sie einfach alles aus.

    – Chris Haas

    3. Juni 2021 um 1:25 Uhr

Das ist alltäglich. Heute sind mehr als 40 % des weltweiten Internetverkehrs Bots und 25 % bösartige Bots. Sie sind nur Bots, die in möglichst vielen indizierten Domains ständig nach möglichen Sicherheitslücken suchen, um die Seite zu kompromittieren. Es gibt Tools, mit denen Sie diese Anfragen erkennen und Maßnahmen ergreifen können. Zum Beispiel fail2ban.

Habe heute auch die gleiche Anfrage bekommen, kein WordPress installiert. Ich vermute, es ist eine Art Scanner. Es fragt nach mehreren Standorten

/wp2/wp-includes/wlwmanifest.xml
/site/wp-includes/wlwmanifest.xml
/cms/wp-includes/wlwmanifest.xml
/sito/wp-includes/wlwmanifest.xml
/shop/wp-includes/wlwmanifest.xml
/xmlrpc.php

etc.

wurde von mehreren Standorten abgefragt. Singapur, USA, Südafrika, Australien, Indien. Und das über den ganzen Tag, und nach jeder Scan-Runde den Standort wechseln. Sollte nichts Schlimmes vermuten, entspricht aber auch nicht dem Schema von so etwas wie dirbuster/gobuster.

Benutzeragent ist immer:
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.149 Safari/537.36

Ich habe auch einige Abfragen erhalten, die vom selben Benutzeragenten anders aussehen:

/aaa9
/aad7

irgendetwas Betreffendes oder nur Bots, die Bots sind?

1406250cookie-checkJemand hat einige wp wlwmanifest.xml http-Anfragen gestellt, aber warum?

This website is using cookies to improve the user-friendliness. You agree by using the website further.

Privacy policy