Caracteres estranhos no log nginx começando com \ x

1

Eu fui hackeado e verifiquei os logs do nginx. Encontrei vários pedidos como este:

169.229.3.91 - - [18/Jun/2016:09:42:19 +0000] ")\xE7\xD1?\xD6\x18.\xC0\xCE\xA3\x7FR\xEA~O$\x0BLi\x13\xA0m\xE7\xF0H4\x92\xD6\xBFv\xD2\xDF3\xFCX#T\x0B\xB6\xE4XmU\xEF$\x03\xC9/\xFD\xDEf\x00\x89Prq\x1A\xB5\x13\x0CoGOn" 400 173 "-" "-" '

Eu suspeito de Ataque XML-RPC gerando a partir do meu servidor, mas não posso confirmá-lo, existe alguma maneira de converter esse código em texto legível?

    
por IAmJulianAcosta 02.07.2016 / 05:18

2 respostas

1

Nenhuma ideia sobre o hack, mas para converter o binário você pode usar printf na linha de comando, assim:

printf %b ")\xE7\xD1?\xD6\x18.\xC0\xCE\xA3\x7FR\xEA~O$\x0BLi\x13\xA0m\xE7\xF0H4\x92\xD6\xBFv\xD2\xDF3\xFCX#T\x0B\xB6\xE4XmU\xEF$\x03\xC9/\xFD\xDEf\x00\x89Prq\x1A\xB5\x13\x0CoGOn"

Ainda é ilegível.

    
por 02.07.2016 / 05:28
0

Aqui está um decodificador interessante: link

Não é uma resposta ... mas, você está usando um sistema operacional compatível e é totalmente corrigido?

Quais são os vários componentes do addon, como Java, Nginx, banco de dados, etc, e eles são totalmente corrigidos?

E os outros servidores que você tem no mesmo domínio?

    
por 02.07.2016 / 05:23