Por que estou vendo solicitações inesperadas para "crossdomain.xml" nos meus logs?

14

Estou recebendo muitos erros 404 do crossdomain.xml. Aqui estão os detalhes da solicitação, conforme fornecidos pelo Google App Engine:

404 22ms 19cpu_ms 0kb Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.122 Safari/534.30
69.130.*.* - - [24/Jul/2011:07:43:42 -0700] "GET /crossdomain.xml HTTP/1.1" 404 124 "http://s.nsdsvc.com/App/DddWrapper.swf?c=3" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.122 Safari/534.30" "app.*.*.*" ms=22 cpu_ms=19 api_cpu_ms=0 cpm_usd=0.000633 instance=00c61b117c557326bef77d341a345431e66b

Não tenho certeza do que está acontecendo. Alguém pode me ajudar a resolver esse problema?

Bogdacutu
fonte

Respostas:

10

Eu também estava encontrando essas referências nos meus logs.

Isso parece estar relacionado a um serviço chamado "Ofertas suspensas", que envolve um complemento de navegador que parece bem danificado.

http://www.dropdowndeals.com/

https://nodpi.org/forum/index.php?topic=3462.0;wap2

user9212
fonte
Parece com isso. Vou adicionar um arquivo crossdomain.xml que interrompe todo o acesso, espero que nada de ruim aconteça.
Bogdacutu 27/07
2
Esta é uma resposta, mas não é uma resposta. Porque ainda não temos a menor ideia do motivo pelo qual o serviço está procurando esse script.
Markus
3
Esta entrada não se deve a ofertas suspensas. Ele está relacionado apenas às ofertas suspensas, tanto quanto o plugin que faz a solicitação também usa o dddWrapper.swf, usado pela Yontoo (uma plataforma de aplicativos para plugins de navegador compatíveis com anúncios / spywares). E a razão pela qual está solicitando crossdomain.xml é bastante óbvia. Basta pesquisar no google "crossdomain.xml" ou procurar por ele neste site e você perceberá rapidamente por que um arquivo .swf faria essa solicitação.
Lèse majesté
Lèse: Então, para verificar, a idéia é que a Yontoo injetou uma cópia das ofertas suspensas em um grande número de sites aleatórios que você está visitando?
user9212
2
@ user9212: Não, o que está acontecendo é que alguém que instalou um plug-in de navegador baseado no Yontoo está navegando no seu site. O plug-in do navegador carrega o objeto flash dddWrapper.swf, que, por sua vez, deseja buscar conteúdo do seu domínio. Mas, para fazer isso, ele precisa acessar a política de domínio cruzado no site, que é a finalidade da solicitação crossdomain.xml. O dddWrapper.swf faz parte da plataforma Yontoo. O "ddd" não é uma referência às ofertas suspensas. O plugin Yontoo do Drop Down Deals o usa, assim como todos os outros plugins Yontoo.
Lèse majesté
5

Na verdade, isso não está relacionado a um plug-in do Firefox, nem a nenhum plugin. crossdomain.xmlfaz parte da especificação flash / flex. É um método para permitir / validar operações entre domínios para flash e outros produtos da Adobe. O Sliverlight também parece usar / obedecer à mesma estrutura de política da Adobe.

Da especificação do arquivo de política entre domínios da Adobe

Um arquivo de política entre domínios é um documento XML que concede a um cliente da Web - como Adobe Flash Player, Adobe Reader etc. - permissão para manipular dados em vários domínios. Quando um cliente hospeda conteúdo de um domínio de origem específico e esse conteúdo faz solicitações direcionadas a um domínio que não seja o seu, o domínio remoto precisaria hospedar um arquivo de políticas entre domínios que conceda acesso ao domínio de origem, permitindo que o cliente continue com a transação. Os arquivos de política concedem acesso de leitura aos dados, permitem que um cliente inclua cabeçalhos personalizados em solicitações entre domínios e também são usados ​​com soquetes para conceder permissões para conexões baseadas em soquete.

Exemplo de um crossdomain.xml válido

<?xml version="1.0" ?>
<cross-domain-policy>
  <site-control permitted-cross-domain-policies="master-only"/>
  <allow-access-from domain="*"/>
  <allow-http-request-headers-from domain="*" headers="*"/>
</cross-domain-policy>

Parece que um produto da Adobe está solicitando permissão para executar uma operação entre domínios - eu já vi isso nos meus logs antes e considero um bot procurando uma fraqueza, porque não via outro motivo para estar lá - Eu o ignoraria se não estivesse causando nenhum dano aparente.

toomanyairmiles
fonte
Boa explicação. Eu já sabia disso, mas foi esse complemento que causou todos os problemas; meu site não usa o Flash.
Bogdacutu
Ei, descobri que estava acessando meu site em flash sem o " www ". antes do domínio. Ou seja, eu estava visitando mysite.com/page e obtendo o problema ausente em crossdomain.xml. Então, usei o exemplo de arquivo válido crossdomain.xml de amostra fornecido por "toomanyairmiles" e meu site em flash começou a funcionar novamente. Lembre-se, ele estava funcionando bem sem o crossdomain.xml, desde que eu visitei o site com " mysite.com/page ".
0

Verifique os complementos do navegador e procure por algo chamado yontoo.com, sem saber exatamente o que é, mas se você remover esse complemento, tudo parece voltar ao normal.

C. Douglas
fonte
-1

Você tem anúncios baseados em flash no seu site, parece que o anúncio de terceiros está procurando em seu domínio o crossdomain.xml.

Fale com sua empresa de publicidade sobre isso.

Seu domínio era de propriedade de mais alguém no passado? Pode ser que algo tenha sido configurado antes de você aparecer.

Toby
fonte
Não tenho anúncios no meu site. (ainda)
Bogdacutu
Definitivamente não é esse o caso!
Markus
-1

Para mim, é o mesmo, aparentemente não há ataque, mas tenha cuidado, porque se formos solicitados a arquivar muitas vezes, podemos saturar o servidor


fonte