O que significam as seguintes linhas no httpd-access.log?

Question

O que significam as seguintes linhas no httpd-access.log?

#1 resposta do (3 votos)
#2 resposta do (0 votos)

1

As linhas em questão são

124.178.138.134 - - [03/Sep/2010:00:05:35 +1000] "\x1e\xaa\xb7P\xcfL\x1eeV*" 200 1617 "-" "-"
203.29.140.81 - - [03/Sep/2010:00:14:58 +1000] "5A\xe8o8*\x1bWxg\x84L\xa2\x04\x13}y\xbc\xd8\xf7" 200 1617 "-" "-"
120.16.62.30 - - [03/Sep/2010:00:21:01 +1000] "\x8b\x9d\x1b\xe4\x8b\x12\x82P\xd83&\x98\\x89\xc2\x149'9\xac\xd1\xa4!" 200 1617 "-" "-"
86.57.229.206 - - [03/Sep/2010:02:05:53 +1000] "\xaeA\x94\xbd\x95H" 200 1617 "-" "-"

Estou assumindo o \x1e etc que estou vendo onde muitas vezes vejo GET / HTTP/1.1 são códigos de caracteres com escape. 200 1617 corresponde às linhas em torno dele e 1617 é o tamanho da página inicial, tanto quanto eu saiba. Alguma idéia sobre o assunto? Esta é uma instalação do apache 2.2 no FreeBSD 8.0 GENERIC.

EDIT: Acabou de ser atingido por outro.

121.209.160.33 - - [03/Sep/2010:18:08:33 +1000] "\rz\x85\x0e\xbc\xc2U\xeb/9\x12\x8a-\x8d\x1df\xf8\x11\x8c\xc0\x1b,r" 400 226 "-" "-"

logging apache-2.2 freebsd httpd

por JBirch 03.09.2010 / 09:59

2 respostas

0

Alguém tentou buscar documentos com esses nomes no seu servidor da web. É comum que worms e script kiddies tentem vários exploits que muitas vezes se parecem com isso, tentando explorar bugs em algumas versões de algum servidor web. 200 é o código de resultado (SUCESSO) e 1617 é o tamanho do documento exibido.

por 03.09.2010 / 10:05

Tags logging apache-2.2 freebsd httpd

Consultando o domínio do Active Directory de um host do Windows 2008 no SQL Especificando os requisitos de hospedagem da máquina virtual?

score 3 · Accepted Answer

Em geral, esses são os ataques mais prováveis contra servidores IIS (esse talvez seja particularmente contra a vulnerabilidade do WebDav).

Se eu entendi corretamente, geralmente há o suficiente no começo para transbordar um buffer e o resto é shellcode para abrir o acesso ao sistema. Sistemas de detecção de invasão como o Snort podem detectar essas tentativas e rejeitar o envio antes de chegar ao servidor da Web.

Quanto ao Apache, você geralmente estará seguro, desde que tenha certeza de estar atualizado. Se você ficar de olho no log de acesso, verá muitos dos bots espalhados aleatoriamente tentando infectar outros servidores e disseminá-los ainda mais.