Há muitos pedidos como este em nossos registros:
[07/Dec/2015:19:37:03 +0000] "\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\!
x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01\x01" 400 172 "-" "-" "-"
Eu acho que isso é uma vulnerabilidade de segurança, mas não consegui encontrar com o Google. Alguém mais viu isso ou sabe o que é isso?
Parece que alguém está solicitando algum código de shell do seu servidor da Web.
Eu normalmente apenas o ignorava, mas se estiver causando um problema com o log ou algo do tipo, proíba-os.
Faça um Whois rápido em seu endereço IP e, se for uma universidade, denuncie para o abuso @ email com logs;)
Pode ser uma tentativa de explorar uma vulnerabilidade de segurança, mas não há nada nessa entrada de log sugerindo que seu servidor esteja vulnerável.
O cliente não está falando HTTP. Ele está apenas enviando uma seqüência de bytes que todos têm valor 1. Se fosse HTTP, ele seria interpretado como caracteres ASCII, e o byte 1 em ASCII é um caractere de controle raramente usado, que não tem significado em HTTP.
Pode ser uma tentativa de explorar um estouro de buffer, mas se esse for o caso, parece que seu servidor rejeitou a solicitação como inválida antes mesmo de chegar à carga maliciosa. Em um servidor vulnerável, é bem provável que nada tenha sido registrado.
O 400 no log indica que seu servidor rejeitou a solicitação como inválida. Isso porque um fluxo de 1 bytes não é um método HTTP válido e, além disso, é muito longo.
Uma resposta a uma pergunta relacionada em um site-irmão indica que esse tipo de solicitação também pode ser Tente imprimir seu servidor para descobrir qual software está sendo executado.