0

最近、システムを .net 1.1 から .net 2.0 にアップグレードしました。そうして以来、毎分次のエラーでイベントログにエラーが記録されています。奇妙ですが、すべてのクライアント IP またはユーザー ホスト アドレスが、ロシアやベラルーシなどの東ヨーロッパ諸国を指しているようです。ログの問題ですか、それとも誰かが合法的にハッキングしようとしているのですか? -

Information 8/2/2011 15:02  ASP.NET 2.0.50727.0 1316    Web Event   Event code: 4009 
Event message: Viewstate verification failed. Reason: Viewstate was invalid.                    
Event time: 8/2/2011 3:02:36 PM                     
Event time (UTC): 8/2/2011 7:02:36 PM                   
Event ID: e25e0918f9e34bda98abcafadc61a0b6                  
Event sequence: 144401                  
Event occurrence: 5595                  
Event detail code: 50204                    

Application information:                    
    Application domain: OMMITED-OMMITED             
    Trust level: Full                   
    Application Virtual Path: /DirID                    
    Application Path: W:\SITE\DirID\                    
    Machine name: OMMITED-OMMITED                       

Process information: 
    Process ID: 1740 
    Process name: w3wp.exe 
    Account name: NT AUTHORITY\SYSTEM 

Request information: 
    Request URL: http://www.mysite.com/DirID/Default.aspx 
    Request path: /DirID/Default.aspx 
    User host address: 176.14.136.181 
    User:  
    Is authenticated: False 
    Authentication Type:  
    Thread account name: NT AUTHORITY\SYSTEM 

ViewStateException information: 
    Exception message: Invalid viewstate.                   
    Client IP: 176.14.136.181                   
    Port: 63815                     
    User-Agent: TrackChecker                    
    PersistedState: [KEY1]                  
    Referer: http://www.mysite.com/DirID/Default.aspx                   
    Path: /DirID/Default.aspx                   
-------------------------
Information 8/2/2011 14:57  ASP.NET 2.0.50727.0 1316    Web Event   Event code: 4009 
Event message: Viewstate verification failed. Reason: Viewstate was invalid.                    
Event time: 8/2/2011 2:57:11 PM                     
Event time (UTC): 8/2/2011 6:57:11 PM                   
Event ID: 4d814be560f64258b2c926814fdb10c6                  
Event sequence: 142726                  
Event occurrence: 5536                  
Event detail code: 50204                    

Application information:                    
    Application domain: OMMITED-OMMITED                     
    Trust level: Full                   
    Application Virtual Path: /DirID                    
    Application Path: W:\SITE\DirID\                    
    Machine name: OMMITED-OMMITED    

Process information: 
    Process ID: 1740 
    Process name: w3wp.exe 
    Account name: NT AUTHORITY\SYSTEM 

Request information: 
    Request URL: http://www.mysite.com/DirID/Default.aspx 
    Request path: /DirID/Default.aspx 
    User host address: 213.87.131.86 
    User:  
    Is authenticated: False 
    Authentication Type:  
    Thread account name: NT AUTHORITY\SYSTEM 

ViewStateException information:                     
    Exception message: Invalid viewstate.                   
    Client IP: 213.87.131.86                    
    Port: 21441                     
    User-Agent:                     
    PersistedState: [KEY1]                  
    Referer: http://www.mysite.com/DirID/Default.aspx                   
    Path: /DirID/Default.aspx                   
-----------
Information 8/2/2011 14:56  ASP.NET 2.0.50727.0 1316    Web Event   Event code: 4009 
Event message: Viewstate verification failed. Reason: The viewstate supplied failed integrity check.                    
Event time: 8/2/2011 2:56:10 PM                     
Event time (UTC): 8/2/2011 6:56:10 PM                   
Event ID: e20e446446374000bf9ad9c6863192e8 
Event sequence: 142476 
Event occurrence: 5534 
Event detail code: 50203 

Application information: 
    Application domain: OMMITED-OMMITED 
    Trust level: Full 
    Application Virtual Path: /DirID 
    Application Path: W:\SITE\DirID\ 
    Machine name: OMMITED-OMMITED   

Process information: 
    Process ID: 1740 
    Process name: w3wp.exe 
    Account name: NT AUTHORITY\SYSTEM 

Request information: 
    Request URL: http://www.mysite.com/DirID/Default.aspx 
    Request path: /DirID/Default.aspx 
    User host address: 85.174.246.134 
    User:  
    Is authenticated: False 
    Authentication Type:  
    Thread account name: NT AUTHORITY\SYSTEM 

ViewStateException information: 
    Exception message: Invalid viewstate. 
    Client IP: 85.174.246.134 
    Port: 3957 
    User-Agent: TrackChecker 
    PersistedState: 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 
    Referer: http://www.mysite.com/DirID/Default.aspx                   
    Path: /DirID/Default.aspx
4

2 に答える 2

2

最初の 2 つの要求は、次の理由によりビューステートの検証/検証の問題を引き起こしました: PersistedState: [KEY1] - これはすぐに検証エラーになります。

また、あなたは .Net 1.1 から 2.0 にアップグレードしたと言いますが、3 番目のリクエストで指定されたビューステートは「dDw」で始まります。これは .Net 1.1 ビューステートです (.Net 2.0 の場合は「/wE」で始まります)。

ユーザー エージェントに「TrackChecker」が表示されると、ある種のボット/クローラーがページの古いバージョン (.Net 1.1 によって生成されたとき - ビューステートを含む) を保存し、現在はコンテンツを再チェックし、無効なビューステートを送信していることがわかります(.Net 1.1 ビューステートは、明らかな理由で .Net 2.0 での検証に失敗します)

于 2012-07-23T13:07:15.240 に答える
0

私は自分のサイトの 1 つでこれらの Viewstate エラーをたくさん受け取ります。通常は、悪意のあるものを投稿するために運を試しているボットです。

ここでも同じだと思います-ベラルーシからのユーザーがたくさんいない限り?

クエリ文字列やその他のリクエスト パラメータも取得するようにログを修正すると、(疑わしい) 攻撃者 (または不幸なユーザー) が何を達成しようとしていたかについての手がかりが得られます。

于 2011-08-03T13:55:43.997 に答える