<div dir="ltr">On Sat, Mar 2, 2013 at 1:12 PM, Grant <<a href="mailto:emailgrant@gmail.com">emailgrant@gmail.com</a>> wrote:<br>> Do you ignore these entries in the global error.log?  Looking over my<br>> log, this message is logged for all types of strange requests.  Lately<br>

> I'm getting a fair number of requests like this:<br>><br>> <a href="http://www.example.com/page.html?id='A=string">http://www.example.com/page.html?id='A=string</a><br>><br>> "page" changes but is always a valid page.  "string" is 9 characters<br>

> long and doesn't change.<br>><br>> Is there anything to watch out for with this?<br>><br><br>I'm seeing this as well, but I'm getting this error:<br>Malformed session identifier: 'A=0gkd9LaF3QhmE<br>

<br>I'm seeing the same string from multiple ip addresses.  And then later, I'll see a different string start coming in from multiple ip addresses.<br>28-Feb: 'A=0gkd9LaF3QhmE<br>01-Mar: 'A=0XmLmm3PwDpRw<br>

02-Mar: 'A=0XmLmm3PwDpRw<br><br>(the first time I saw the error was on Feb. 28.)<br><br>I'm seeing another error as well (this one started earlier, and it is also continuing):<br> Malformed session identifier: CmKVrLodHYgb"'<br>

<br>The string will change, but it always ends in a double quote followed by a single quote.<br><br>My first thought was that it might be related to this:<br><a href="https://isc.sans.edu/diary/SSHD+rootkit+in+the+wild/15229">https://isc.sans.edu/diary/SSHD+rootkit+in+the+wild/15229</a><div>

<br></div><div>But, I really have no idea what they are trying to do, but it does seem suspicious...</div><div><br></div><div>Dan</div><div><br></div></div>