!->HTTP  in:408 out:8735 /souriz/ Time:130

А спустя короткое время (около двух минут) наш веб-сервер ловит еще один GET-запрос (см. листинг 3):

Листинг 3. Второй GET-запрос, пойманный нашим веб-сервером

!->25/04 13:36:55 [85.62.90.20:54329>80] (t1 549)

GET /souriz/temp/love.gif HTTP/1.0

Host: nezumi.org.ru

Accept-Language: es

Accept: */*

User-Agent: Mozilla/4.0 (compatible; MSIE.6.0; Windows NT 5.1)

Via: 1.1 noname:8888 (squid/2.6.STABLE17)

Cache-Control: max-age=259200

Connection: keep-alive

!->25/04 13:36:55 [85.62.90.20:54329>80] (t1 550)

!->HTTP  in:255 out:8735 /souriz/ Time:10

Попробуем разобраться в этом хозяйстве, попутно отметив, что IP-адрес самого virustotal равен 74.53.201.162, а также приведем несколько вполне типичных GET-запросов от известных агентов (см. листинги 4-6). Первый запрос (см. листинг 2) совершенно нетипичен ни для браузеров, ни для почтовых клиентов, ни для proxy-серверов, что наводит на мысль – а не является ли это спам-фильтром? Поскольку запрашивается вся картинка целиком (размер out совпадает до последнего байта), то это скорее именно спам-фильтр, а не антивирус.

Второй GET-запрос (см. листинг 3) – типичный кэширующий proxy (сравните его с листингом 6). Кстати, первый запрос не мог принадлежать кэширующему proxy, иначе бы второй запрос уже бы не появился. Не мог первый запрос быть и просто от proxy-сервера, ибо разница во времени (примерно 2 минуты) слишком велика для «проксирования», но вполне типична для спам-фильтра/антивируса на довольно загруженном узле.

Оба GET-запроса достаточно характерны и позволяют выявить версию программного обеспечения, для чего достаточно запустить какой-нибудь сетевой сканер, например, X‑Spider, сообщающий нам, что узел 85.62.90.20 не отвечает на запросы, а 81.26.151.146 работает под управлением UNIX, имеет кучу открытых портов (53, 80, 123, 443, 993, 2222) и содержит уязвимость в OpenSSH, приводящую к возможности выполнения произвольного кода (см. рис. 2). Что ж, неплохое начало!