webserver hack usings caracteres estranhos

1

Infelizmente, sou novato demais para procurar a resposta a essa pergunta ou até mesmo como citá-la corretamente, pois não sei para o que estou olhando.

Isso é o que eu vejo no meu nginx access.log. Obviamente, posso escolher o endereço IP e a data. Mas o argumento depois do \ x nem sempre é hexadecimal. Ou isso é uma mistura de representação unicode e caracteres ASCII reais?

Obviamente, o nginx acha que isso é um absurdo (código de retorno malformado). Mas gostaria de saber o que está acontecendo. Todos os endereços IP são para ISPs, então não posso realmente bloqueá-los com o risco de serem dinâmicos.

68.197.228.104 - - [07/Aug/2016:06:41:41 +0000] "\x9F\x00\x00\x00B\xF3Z\xC7\xDB\xC9b\xC7\xDD=\xE2\xB4m0+\x9E\xA8\x1E\xC5)Z\xDD\xFAD=}\x9E\xE1!\xBA\xE0\xFB\xA0\xA0Z|\xC1K\xBA\xC1\xD1\xD8\xA7\x8C\xD47YrG\xB0\xB4C\x1Fo\x80\xD8\x15\x088\x1B4\xBE\x02z7\x85s\x9753\xA2M\xAC\x22\x5C\x04{4F\x87[\xFD\x17\xFCE\x82}~\x99z\x9D\x87T\xA1\xBB\x89\x8F\xF7/\xD9\xB7g\xF2\x14/\xC7x\xDC\xBElg\xF50\x06;\xE0'\xF3|\xF6\xAD\xBB\x87\xE0\xE2\x8F\x12\x8C\x8B'*\xF6c\xB5\xC9D\xF1\x1Ay!\xAA\xC8\xDA\xEF\xFA\xDEw\x08g\x9B\x1A$<'\x93!~ ^" 400 173 "-" "-"

172.56.30.114 - - [07/Aug/2016:08:55:36 +0000] "\x16\x03\x01\x02\x00\x01\x00\x01\xFC\x03\x034\xA9\x06\x18\xAE\x96 \x0F\xDD\xAA7\x05\x16\xCA\xE9\xE0A69\xE7P\xAB\xCC\xEFB\xBB)yQ\xFE\x00\x00\xA8\x00\x05\x00\x04\x00\x15\x00\x16\x003\x009\x00:\x00\x1A\x00\x18\x005\x00\x09\x00" 400 173 "-" "-"

Não estou respondendo minha resposta. Embora essa universidade seja uma fonte de tais caracteres, aparentemente não é a única fonte se você verificar os endereços IP. Aqui está uma nova entrada do nginx access.log

75.120.80.102 - - [17/Aug/2016:17:56:54 +0000] "\x9F\x00\x00\x00B\xF3Z\xC7\xDB\xC9b\xC7\xDD=\xE2\xB4m0+\x9E\xA8\x1E\xC
5)Z\xDD\xFAD=}\x9E\xE1!\xBA\xE0\xFB\xA0\xA0Z|\xC1K\xBA\xC1\xD1\xD8\xA7\x8C\xD47YrG\xB0\xB4C\x1Fo\x80\xD8\x15\x088\x1B4
\xBE\x02z7\x85s\x9753\xA2M\xAC\x22\x5C\x04{4F\x87[\xFD\x17\xFCE\x82}~\x99z\x9D\x87T\xA1\xBB\x89\x8F\xF7/\xD9\xB7g\xF2\
x14/\xC7x\xDC\xBElg\xF50\x06;\xE0'\xF3|\xF6\xAD\xBB\x87\xE0\xE2\x8F\x12\x8C\x8B'*\xF6c\xB5\xC9D\xF1\x1Ay!\xAA\xC8\xDA\
xEF\xFA\xDEw\x08g\x9B\x1A$<'\x93!~ ^" 400 173 "-" "-"

Isso é interessante. Anote a solicitação para o ipip.net antes dos caracteres sem sentido. Ele tem um 444 (a resposta é o primeiro parâmetro) porque ele aciona algum código que eu coloquei no nginx, embora eu não saiba ao certo por que ele aparece, já que eu não vou retransmitir o pedido.

444 139.162.13.205 - - [26/Aug/2016:12:04:52 +0000] "GET http://clientapi.ipip.net/echo.php?info=20160826200452 HTTP/1
.1" 0 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64)" "-"

400 139.162.13.205 - - [26/Aug/2016:12:04:53 +0000] "\x00\x9C\x00\x01\x1A+<M\x00\x01\x00\x00\x01\x00\x00\x00\x00\x00\x
00\x01\x00\x00\x00\x01\x00\x00" 173 "-" "-" "-"

400 139.162.13.205 - - [26/Aug/2016:12:04:53 +0000] "\x05\x02\x00\x02" 173 "-" "-" "-"

400 139.162.13.205 - - [26/Aug/2016:12:05:04 +0000] "\x04\x01\x1F\x00\x00\x00\x00\x00\x00" 173 "-" "-" "-"
    
por gariac 08.08.2016 / 03:07

3 respostas

1

É uma mistura de caracteres ASCII padrão e caracteres codificados hexadecimais. Por exemplo, no início da primeira solicitação, \x00B é null byte e ASCII B. O objetivo é codificar a solicitação de maneira que o ataque não seja detectado pelo software de proteção no servidor.

    
por 08.08.2016 / 11:51
0

Pesquisa de varredura na Internet da RWTH Aachen University

OK, problema resolvido.

"Posso solicitar que meu servidor seja excluído? Para que seu host ou rede seja excluído de futuras varreduras conduzidas pela RWTH Aachen University, entre em contato com [email protected] com seu endereço IP ou bloco CIDR. Como alternativa, você pode configurar seu firewall para descartar tráfego da sub-rede que usamos para verificação: 137.226.113.0/24. "

Texto completo no link. É um projeto de pesquisa chamado.

    
por 14.08.2016 / 10:08
0

Você pode adicionar uma regra ao fail2ban para reduzir essas complexas cadeias de ataque.

Por favor, dê uma olhada na minha resposta aqui:

link

    
por 08.10.2018 / 08:05