O que é isso no log nginx? "\ X01 \ x01 ..."

4

Há muitos pedidos como este em nossos registros:

[07/Dec/2015:19:37:03 +0000] "\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\!
x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01" 400 172 "-" "-" "-"

Eu acho que isso é uma vulnerabilidade de segurança, mas não consegui encontrar com o Google. Alguém mais viu isso ou sabe o que é isso?

    
por user3145800 08.12.2015 / 03:32

2 respostas

1

Parece que alguém está solicitando algum código de shell do seu servidor da Web.

Eu normalmente apenas o ignorava, mas se estiver causando um problema com o log ou algo do tipo, proíba-os.

Faça um Whois rápido em seu endereço IP e, se for uma universidade, denuncie para o abuso @ email com logs;)

    
por 30.08.2017 / 15:32
1

Pode ser uma tentativa de explorar uma vulnerabilidade de segurança, mas não há nada nessa entrada de log sugerindo que seu servidor esteja vulnerável.

O cliente não está falando HTTP. Ele está apenas enviando uma seqüência de bytes que todos têm valor 1. Se fosse HTTP, ele seria interpretado como caracteres ASCII, e o byte 1 em ASCII é um caractere de controle raramente usado, que não tem significado em HTTP.

Pode ser uma tentativa de explorar um estouro de buffer, mas se esse for o caso, parece que seu servidor rejeitou a solicitação como inválida antes mesmo de chegar à carga maliciosa. Em um servidor vulnerável, é bem provável que nada tenha sido registrado.

O 400 no log indica que seu servidor rejeitou a solicitação como inválida. Isso porque um fluxo de 1 bytes não é um método HTTP válido e, além disso, é muito longo.

Uma resposta a uma pergunta relacionada em um site-irmão indica que esse tipo de solicitação também pode ser Tente imprimir seu servidor para descobrir qual software está sendo executado.

    
por 18.10.2018 / 12:26

Tags