Log de acesso do Apache \ x80w \ x01 \ x03 \ x01

Estas seqüências de bytes em seus logs se parecem com o início dos pacotes de saudação do cliente SSL versão 2 e resultam de alguns clientes HTTPS conectando-se a uma porta em que seu servidor da Web espera HTTP simples, não HTTPS. Seu servidor da Web tenta interpretar o início do handshake SSL como o método de solicitação HTTP.

Então você tem dois problemas aqui:

1. Alguém tenta falar HTTPS com uma porta na qual seu servidor da Web espera HTTP. Isso pode ser uma configuração incorreta de seu servidor (por exemplo, você adicionou uma diretiva Listen 443 , mas não habilitou HTTPS corretamente) ou apenas o resultado de verificações de porta de robôs estúpidos que tentam HTTPS em portas não padrão. Ou isso pode ser causado por um erro de configuração do cliente (algo como link pode resultar em tal comportamento).
2. Seu servidor, por algum motivo, responde com o código de status 200 a solicitações com um método falso. Enquanto o próprio Apache não deve lidar com tais métodos desconhecidos, o PHP aceita tudo e passa a requisição para o script. Juntamente com algumas regras de reescrita que fazem com que a solicitação de arquivos inexistentes seja passada para index.php (comumente usado para obter “URLs limpas”) e scripts que não verificam $_SERVER['REQUEST_METHOD'] , isso pode resultar no comportamento que você vê aqui. >

E se os clientes que enviam essas solicitações forem controlados por você, você terá um terceiro problema - esses clientes estão usando o protocolo SSL v2 obsoleto e inseguro (eles anunciam suporte para SSL versão 3.1, que na verdade é TLS 1.0, mas seria aceitar respostas SSL v2 do servidor, para que elas fiquem vulneráveis a um ataque de downgrade de protocolo devido à falta de proteção de integridade para o handshake no SSL v2).

Sim, o lixo parece vir de solicitações https para um servidor http.

As solicitações do HNAP1 parecem um ataque automatizado contra uma grande quantidade de roteadores.

Se ele estiver passando por uma instalação do Apache, tudo bem.

Se ele estiver atingindo qualquer tipo de roteador DSL / cabo, é bem possível que ele seja usado. Você deve redefini-lo e atualizar o firmware para a versão mais recente. A exploração poderia permitir que um hacker invadisse sua rede interna, mas eu realmente duvido que o ataque automatizado vá tão longe. Felizmente, parece que só pode alterar a senha e as configurações, portanto, uma redefinição irá desfazê-lo, embora isso só aconteça novamente se você não atualizar para um firmware fixo. As explorações mais permanentes que envolvem a substituição do firmware seriam específicas do dispositivo.

Eu estou constantemente descobrindo que o método de solicitação emparelhado com um GET /HNAP1/ HTTP/1.1 , o que me faz suspeitar que a sequência \x80w\x01\x03\x01 pode estar relacionada a uma vulnerabilidade em um dos sistemas de automação residencial.

74.203.xx.xx - - [13/Dec/2013:19:01:25 -0800] "\x80w\x01\x03\x01" 405 997 "-" "-"
74.203.xx.xx - admin [13/Dec/2013:19:01:25 -0800] "GET /HNAP1/ HTTP/1.1" 301 579 "http://.../" "Mozilla/5.0 Galeon/1.0.2 (X11; Linux i686; U;) Gecko/20011224"
74.203.xx.xx - - [13/Dec/2013:19:04:43 -0800] "\x80w\x01\x03\x01" 405 997 "-" "-"
74.203.xx.xx - admin [13/Dec/2013:19:04:44 -0800] "GET /HNAP1/ HTTP/1.1" 301 581 "http://.../" "Mozilla/5.0 (Macintosh; U; PPC Mac OS X Mach-O; en-US; rv:1.0.1) Gecko/20030306 Camino/0.7"