Encontrou um usuário especial no weblog do apache chamado @ ^ Y @. @ {phqsp ~ {2 '/ 2 | pq {jvk @ -1 (' @lvo) & 1--1. (/ 1) '@. / *

Question

Encontrou um usuário especial no weblog do apache chamado @ ^ Y @. @ {phqsp ~ {2 '/ 2 | pq {jvk @ -1 (' @lvo) & 1--1. (/ 1) '@. / *

#1 resposta do (0 votos)

2

Ao verificar os arquivos de log de alguns dos meus clientes, encontrei isso como nome de usuário para usuários autenticados. Temos um arquivo .htusers usado para autenticação web básica, todos os outros usuários no serverlog que encontrei no .htusers , mas não o usuário @^Y@.@{phqsp~{2'/2|pq{jvk@-1('@lvo)&1--1.(/1)'@./* .

A versão do servidor é 2.2.22 em 64b Opensuse 12

Primeira pergunta: esse usuário conseguiu receber o conteúdo protegido pelo arquivo .htusers ?

Próximo: qualquer pessoa que tenha mais informações sobre essa tentativa de invasão? Não encontrei nada no Google, exceto muitos registros de acesso de todo o mundo.

Editar: Apenas para adicionar as logentries:

x.y.z.x - @^Y@.@{phqsp~{2'/2|pq{jvk@-1('@lvo)&1--1.(/1)'@./* [06/Jan/2013:16:53:16 +0000] "GET xxxxxxxxxxxxxxx HTTP/1.1" 200 676 "xxxxxxxxxxxxxxx" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.11 (KHTML, like Gecko) Chrome/23.0.1271.97 Safari/537.11"

x.y.z.x - @^Y@.@{phqsp~{2'/2|pq{jvk@-1('@lvo)&1--1.(/1)'@./* [06/Jan/2013:16:53:16 +0000] "GET xxxxxxxxxxxxxxx HTTP/1.1" 200 523 "xxxxxxxxxxxxxxx" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.11 (KHTML, like Gecko) Chrome/23.0.1271.97 Safari/537.11"

x.y.z.x - @^Y@&@{phqsp~{2'/2|pq{jvk@-1('@lvo)&1--1.(/1)'@./* [06/Jan/2013:16:57:47 +0000] "GET xxxxxxxxxxxxxxx HTTP/1.1" 200 11 "xxxxxxxxxxxxxxx" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.11 (KHTML, like Gecko) Chrome/23.0.1271.97 Safari/537.11"

security apache-2.2 http-basic-authentication

por Peter Stimpel 21.01.2013 / 22:55

1 resposta

Tags security apache-2.2 http-basic-authentication

Como configurar o multipath usando o Intel X520-SR2 10GB no Oracle Linux 6.2? Como devo adicionar manualmente endereços IP a denyhosts?

score 0 · Accepted Answer

Eu acho que há más notícias se os recursos xxxxxx 'saídos estiverem localizados na área protegida. O código de status http em seus registros informa que seu servidor enviou o recurso para o cliente x.y.z.x. Se o basic-auth tivesse falhado de alguma forma, um 401 (proibido) teria sido retornado.

O número ao lado do 200 informa quantos bytes foram enviados na resposta. Verifique se os recursos por trás dos xxxxxx'es têm 676, 523 e 11 bytes de tamanho para outra dica se os dados foram acessados com sucesso.

Atualização / Solução:

Como se constatou nos comentários, os acessos mencionados foram para recursos em áreas desprotegidas, resultando assim no código de status http 200 (OK). O fato confuso de que um nome de usuário desconhecido é mostrado nos logs é devido à possibilidade de definir o cabeçalho "Autorização" em uma solicitação http, independentemente de a autorização ter sido solicitada pelo servidor ou de o nome de usuário ser conhecido no servidor. Então, aparentemente, este é o trabalho de algum webcrawler ou bot tendo configurado o cabeçalho auth por padrão. Talvez inocente, talvez não, mas obviamente não tão prejudicial quanto parece à primeira vista no arquivo de registro.