5 ответов в этой теме

[ЛСергей]

Пару раз в неделю приходят email, я всегда открываю сначала на сервере в сыром формате через старый far 1.75, если там всё нормально, тогда к себе забираю.
Сабдж разный напр. скидки, отправители разные, IP отправителя отели в Бразилии, мед.учреждения по Европе  и т.д.
Сайты на которые редирект выполняется тоже разные.
Общее линк c параметрами
.html/?4d.5a.50.00.6f.64.3d.34.73.79.6d.36.37.62 .....
Длинная строка, от 200 до 500 символов.
Может начинаться с ?6f.64.3d.34.73.... или иначе.

Обратите внимание на html. Не php или asp.

Особо напрягает строчка, начинающаяся с 4d.5a.

Возможно, там безобидная реклама или не очень одетые девушки. Не хочу рисковать, сразу убиваю этот мусор на сервере.
Пару раз пытался проверить линк через https://vms.drweb.ru/online/?utm_medium=glavnaya&utm_source=drweb_site&utm_campaign=urlonline
Получаю

 

Ошибка

Не удаётся скачать удалённый файл. Возможные причины:

• Недоступен файл (отсутствует, требует аутентификации, запрещён доступ)
• Технические проблемы на удалённом сервере
• Отсутствует (или очень медленная) связь между сервером Dr.Web Онлайн и удалённым сервером
• Файл слишком велик

 

 

 Потому сразу убиваю это мыло.

[B.Chugunov]

А в чем вопрос то?    Судя по описанию на сервак, который перед .html должен быть прописан, посылают некий Get-запрос в виде всего, что там после знака вопроса в байтах закодировано. 200 символов - 100 байт всего, если без точек. С точками на треть меньше, но это в целом не суть. Могут еще чего-нибудь в base64 добавить. Закодированы могут быть какие-то конкретные параметры, известные только составителю этого запроса. По этим параметрам соответственно с указанного сервера можно чего то получить. В остальном нужно конкретные ссылки изучать. Может и ничего интересного там нет, а может и какой-то файл захотят отдать с той стороны. 
Боитесь сами проверять, кидайте запросом в лаб. Если сервак живой и с него что-то можно получить, то аналитики проверят.  

[ЛСергей]

Боитесь сами проверять

Сам я могу скормить https://www.virustotal.com/gui/home/urlили вашему https://vms.drweb.ru/online/?utm_medium=glavnaya&utm_source=drweb_site&utm_campaign=urlonline

Получаю ответ, что проверка невозможна. 

С точками на треть меньше

Chrome и Edge  позволяют до 8192

HTTP/1.1 и RFC 2616 не накладывают строгих ограничений, но рекомендуется не превышать 2000 символов для совместимости.

 

4d.5a.50.00 - похоже на исполняемый файл, без точек и каждые два его символа = одному символу, ну примерно 500 байт может выйти.

Да, согласен, длина зависит от LimitRequestLine

кидайте запросом в лаб

Провайдер обещал попробовать заблокировать., но если опять будет, то сразу перешлю.
Все его html начинались
dfdfdfdfdfdfdfdfdf

до 50 символов

[B.Chugunov]

Сам я могу скормить

Я вообще предлагал совсем не это. 

Получаю ответ, что проверка невозможна.

Да, так и будете получать в 99% случаев. Не факт, что по этой ссылке вообще в этот момент что-то отдается еще и там не 404. 

4d.5a.50.00 - похоже на исполняемый файл, без точек и каждые два его символа = одному символу, ну примерно 500 байт может выйти.

4D 5A - да, сигнатура досовского MZ. Если иметь все байты, то можно и целиком собрать, что получается. Но вообще там по итогу что угодно может быть. Повторюсь, что дальше обычно GET-запрос на сервер следует, с которого по указанным параметрам запроса могут отдать что угодно. Там могут быть просто закодированные параметры а-ля aa=123, bb=456, qwerty=9876 и т.д. И чего там по ним отдается - не узнать заранее, пока запрос не выполнишь. 
Но мне в первую очередь до сих пор не ясен весь смысл текущего топика.   Вопрос то в чем? 
Если есть подозрение, что там что-то вредоносное отдается, а самому проверять не хочется или страшно - репортить в лаб и все. Под проверять я естественно не имею ввиду засунуть ссылку в какую-то форму. Потому как ссылка уже может быть недействительна, отдавать 404 или ссылка может быть чистой, потому что сам ресурс еще никто никуда не добавлял. И если там таки какой-то файл отдается, то форма проверки ссылок вполне может и не осилить сообразить, что вообще нужно файл проверять. Может либо в ошибку уйти, либо выдаст вердикт по самой ссылке вместо файла. И пусть даже форма осилит проверить сам теоретический передаваемый файл, но вдруг там окажется какой-то свежесобранный неизвестный вирусный бинарь и форма скажет, что он чист.   Вариаций куча. Вопрос - к чему это все. 

[Dmitry_rus]

Вопрос - к чему это все

Скорее всего, с практической точки зрения - ни к чему. Просто у топикстартера, если судить по его сообщениям на этом форуме, какая-то параноидальная вирусофобия, как мне кажется. ))

[B.Chugunov]

какая-то параноидальная вирусофобия

Кибермизофобия получается =) Главное, чтобы в киберипохондрию всё не ушло =)