Encontrou um usuário especial no weblog do apache chamado @ ^ Y @. @ {phqsp ~ {2 '/ 2 | pq {jvk @ -1 (' @lvo) & 1--1. (/ 1) '@. / *

2

Ao verificar os arquivos de log de alguns dos meus clientes, encontrei isso como nome de usuário para usuários autenticados. Temos um arquivo .htusers usado para autenticação web básica, todos os outros usuários no serverlog que encontrei no .htusers , mas não o usuário @^Y@.@{phqsp~{2'/2|pq{jvk@-1('@lvo)&1--1.(/1)'@./* .

A versão do servidor é 2.2.22 em 64b Opensuse 12

Primeira pergunta: esse usuário conseguiu receber o conteúdo protegido pelo arquivo .htusers ?

Próximo: qualquer pessoa que tenha mais informações sobre essa tentativa de invasão? Não encontrei nada no Google, exceto muitos registros de acesso de todo o mundo.

Editar: Apenas para adicionar as logentries:

x.y.z.x - @^Y@.@{phqsp~{2'/2|pq{jvk@-1('@lvo)&1--1.(/1)'@./* [06/Jan/2013:16:53:16 +0000] "GET xxxxxxxxxxxxxxx HTTP/1.1" 200 676 "xxxxxxxxxxxxxxx" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.11 (KHTML, like Gecko) Chrome/23.0.1271.97 Safari/537.11"

x.y.z.x - @^Y@.@{phqsp~{2'/2|pq{jvk@-1('@lvo)&1--1.(/1)'@./* [06/Jan/2013:16:53:16 +0000] "GET xxxxxxxxxxxxxxx HTTP/1.1" 200 523 "xxxxxxxxxxxxxxx" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.11 (KHTML, like Gecko) Chrome/23.0.1271.97 Safari/537.11"

x.y.z.x - @^Y@&@{phqsp~{2'/2|pq{jvk@-1('@lvo)&1--1.(/1)'@./* [06/Jan/2013:16:57:47 +0000] "GET xxxxxxxxxxxxxxx HTTP/1.1" 200 11 "xxxxxxxxxxxxxxx" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.11 (KHTML, like Gecko) Chrome/23.0.1271.97 Safari/537.11"

    
por Peter Stimpel 21.01.2013 / 22:55

1 resposta

0

Eu acho que há más notícias se os recursos xxxxxx 'saídos estiverem localizados na área protegida. O código de status http em seus registros informa que seu servidor enviou o recurso para o cliente x.y.z.x. Se o basic-auth tivesse falhado de alguma forma, um 401 (proibido) teria sido retornado.

O número ao lado do 200 informa quantos bytes foram enviados na resposta. Verifique se os recursos por trás dos xxxxxx'es têm 676, 523 e 11 bytes de tamanho para outra dica se os dados foram acessados com sucesso.

Atualização / Solução:

Como se constatou nos comentários, os acessos mencionados foram para recursos em áreas desprotegidas, resultando assim no código de status http 200 (OK). O fato confuso de que um nome de usuário desconhecido é mostrado nos logs é devido à possibilidade de definir o cabeçalho "Autorização" em uma solicitação http, independentemente de a autorização ter sido solicitada pelo servidor ou de o nome de usuário ser conhecido no servidor. Então, aparentemente, este é o trabalho de algum webcrawler ou bot tendo configurado o cabeçalho auth por padrão. Talvez inocente, talvez não, mas obviamente não tão prejudicial quanto parece à primeira vista no arquivo de registro.

    
por 23.01.2013 / 22:50