Coisas estranhas no log do apache

5

Estou criando algum tipo de webapp, e atualmente tudo funciona na minha máquina. Eu estava vasculhando meus logs e encontrei várias entradas de log "estranhas" que me deixaram um pouco paranoica. Aqui vai:

***.***.***.** - - [19/Dec/2010:19:47:47 +0100] "\x99\x91g\xca\xa8" 501 1054
**.***.***.** - - [19/Dec/2010:20:14:58 +0100] "<}\xdbe\x86E\x18\xe7\x8b" 501 1054
**.**.***.*** - - [21/Dec/2010:15:28:14 +0100] "J\xaa\x9f\xa3\xdd\x9c\x81\\xbd\xb3\xbe\xf7\xa6A\x92g'\x039\x97\xac,vC\x8d\x12\xec\x80\x06\x10\x8e\xab7e\xa9\x98\x10\xa7" 501 1054

Maldito ... o que é isso?!

    
por aL3xa 21.12.2010 / 23:14

4 respostas

4

A menos que você tenha notado novos arquivos estranhos, arquivos de sistema alterados ou outros comportamentos estranhos do seu servidor, eu não me preocuparia muito com essas estranhas entradas de log. Qualquer um pode enviar solicitações HTTP malformadas para o seu servidor se ele estiver aberto à Internet, e muitas pessoas (ou bots) fazem exatamente isso.

Por que eles fariam isso? Bem, alguns servidores da Web têm vulnerabilidades conhecidas que podem ser exploradas enviando-as apenas o tipo de solicitação "correto". Então, o que você possivelmente está vendo são sondas para vulnerabilidades conhecidas (ou até mesmo desconhecidas). Se isso faz você se sentir mais seguro, você pode tomar medidas retroativas , como bloquear / banir IPs que enviam solicitações mal formadas ou desconhecidas (usando iptables, fail2ban, etc.).

Pessoalmente, eu assumo a posição de que os IPs "ruins" da lista negra não valem a pena, já que, quando você vê os rastros deles nos seus arquivos de registro, eles descobriram que você não está vulnerável ou que está já hackeado. Eu acredito que a melhor abordagem é ser proativo com segurança:

  • Mantenha seu software de servidor totalmente atualizado e atualizado. Sempre. Rapidamente. Religiosamente.

  • Mantenha seu perfil de ataque o menor possível: Não instale / execute nenhum software desnecessário no servidor. E, como William de Ockham disse uma vez, "Não multiplique as contas de usuários desnecessariamente."

  • Firewall seu servidor. ( Ou não , mas saiba o que você está fazendo.)

  • Execute um sistema de detecção de invasões, como AIDE , OSSEC , ou samhain . Isso irá alertá-lo quando os arquivos do sistema forem alterados inesperadamente, muitas vezes uma dica de que seu servidor foi comprometido.

  • Execute o software de monitoramento / representação gráfica do sistema, como munin , cactos , collectd ou algo semelhante. Assista os gráficos regularmente para ter uma ideia de como as cargas normais do sistema se parecem, e quais são suas tendências regulares. Então, quando seus gráficos mostram algo que você nunca viu antes, você tem que investigar mais.

  • Execute um web analyzer / grapher, como webalizer ou awstats Novamente, familiarize-se com as operações normais, para que você possa reconhecer rapidamente quando as coisas não estão normais.

  • Execute um servidor de log separado - preferivelmente em um sistema mínimo, protegido por segurança, que não esteja executando nada - e configure seus servidores para enviar seus logs para ele. Isso torna muito mais difícil para um intruso cobrir seus rastros.

por 22.12.2010 / 02:15
3

Que tipo de servidor você está executando? Apache?

Parece uma exploração do IIS .... Código Vermelho / NIMDA

    
por 21.12.2010 / 23:20
3

Todos os servidores da Web acessíveis publicamente recebem solicitações como essa durante todo o dia. Eles estão apenas tentando cegamente explorações conhecidas contra o seu servidor. O que costumo fazer é configurar o servidor da Web para exibir uma página em branco quando receber solicitações para o IP (ou seja, link ). Eu só permito que os sites apareçam quando o domínio de host virtual correto é solicitado.

Veja qual site aparece quando você acessa o servidor da web por IP em vez de por nome de domínio. A maioria dos scripts de exploração que rastreiam os tubos da netter não estão executando solicitações válidas de host virtual (cabeçalhos de host virtuais apropriados).

Você também pode examinar os vários utilitários que bloquearão automaticamente endereços IP que tentam solicitações nefastas.

    
por 22.12.2010 / 00:30
2

Bem, supondo que esses endereços IP fossem seus e não endereços externos, pode ser simplesmente o lixo do seu aplicativo da Web.

Isso lembra uma situação em que eu vi dados de log do PHP em UTF8, depois eles foram codificados / escapados em ASCII depois, o que representou mensagens aparentemente muito semelhantes.

    
por 21.12.2010 / 23:26