Странные вещи в логе apache

Question

Странные вещи в логе apache

Я создаю какое-то веб-приложение, и в настоящее время все это работает на моей машине. Я зачесывал свои журналы и нашел несколько "странных" записей в журнале, что сделало меня немного параноиком. Вот оно:

***.***.***.** - - [19/Dec/2010:19:47:47 +0100] "\x99\x91g\xca\xa8" 501 1054
**.***.***.** - - [19/Dec/2010:20:14:58 +0100] "<}\xdbe\x86E\x18\xe7\x8b" 501 1054
**.**.***.*** - - [21/Dec/2010:15:28:14 +0100] "J\xaa\x9f\xa3\xdd\x9c\x81\\\xbd\xb3\xbe\xf7\xa6A\x92g'\x039\x97\xac,vC\x8d\x12\xec\x80\x06\x10\x8e\xab7e\xa9\x98\x10\xa7" 501 1054

Черт возьми... что это?!

5

apache-2.2 log-files hacking binary

Источник

aL3xa 21 дек '10 в 22:14

4 ответа

Решение

Какой сервер вы используете? Apache?

Это похоже на эксплойт IIS....Code Red/NIMDA

3

Источник

Jared 21 дек '10 в 22:20

Каждый общедоступный веб-сервер получает такие запросы в течение всего дня. Они просто слепо пытаются использовать известные эксплойты против вашего сервера. Я часто настраиваю веб-сервер на отображение пустой страницы, когда он получает запросы на свой IP-адрес (т. http://10.0.0.1/). Я позволяю сайтам появляться только при запросе правильного домена виртуального хоста.

Посмотрите, какой сайт появляется при доступе к веб-серверу по IP-адресу, а не по доменному имени. Большинство сценариев эксплойтов, сканирующих netter-tube, не выполняют допустимые запросы виртуальных хостов (правильные заголовки виртуальных хостов).

Вы также можете просмотреть различные утилиты, которые будут автоматически блокировать IP-адреса, которые пытаются выполнить гнусные запросы.

3

Источник

CarpeNoctem 21 дек '10 в 23:30

Если предположить, что эти IP-адреса были вашими собственными, а не внешними, то это может быть просто нежелательная запись в журнал вашего веб-приложения.

Это напоминает ситуацию, когда я видел, как PHP регистрирует данные в UTF8, затем они кодируются / экранируются в ASCII, что объясняет очень похожие сообщения.

2

Источник

jonathanserafini 21 дек '10 в 22:26

Другие вопросы по тегам apache-2.2 log-files hacking binary

Steven Monday 22 дек '10 в 01:15 2010-12-22 01:15 · Accepted Answer · 2010-12-22 01:15

Если вы не заметили странные новые файлы, измененные системные файлы или другие странные поведения со своего сервера, я бы не стал сильно беспокоиться об этих странных записях журнала. Любой может отправлять неверно сформированные HTTP-запросы на ваш сервер, если он открыт для Интернета, и так много людей (или ботов) делают именно это.

Почему они это сделали? Ну, некоторые веб-серверы имеют известные уязвимости, которые можно использовать, отправляя им только "правильный" тип запроса. Так что вы, вероятно, видите, это зонды известных (или даже неизвестных) уязвимостей. Если это заставляет вас чувствовать себя в большей безопасности, вы можете принять ретроактивные меры, такие как блокировка / запрет IP-адресов, отправляющих неправильно сформированные или неизвестные запросы (с использованием iptables, fail2ban и т. Д.).

Лично я придерживаюсь позиции, что заносить в черный список "плохие" IP-адреса не стоит, поскольку к тому времени, когда вы видите их следы в своих лог-файлах, они либо узнали, что вы не уязвимы, либо вы уже взломаны. Я считаю, что лучше подходить к безопасности с упреждением:

Держите серверное программное обеспечение полностью исправленным и обновленным. Всегда. Брезгливо. Религиозно.
Сохраняйте профиль атаки как можно меньшим: не устанавливайте и не запускайте ненужные программы на сервере. И, как однажды сказал Уильям из Оккама, "не делайте учетных записей пользователей без необходимости".
Брандмауэр вашего сервера. ( Или нет, но знайте, что вы делаете.)
Запустите систему обнаружения вторжений, такую как AIDE, OSSEC или samhain. Это предупредит вас, когда системные файлы неожиданно изменятся, часто предупреждая, что ваш сервер был взломан.
Запустите программное обеспечение для системного мониторинга / построения графиков, например munin, cacti, collectd или подобное. Просматривайте графики на регулярной основе, чтобы понять, как выглядят нормальные системные нагрузки и как выглядят ваши обычные тренды. Затем, когда ваши графики показывают что-то, чего вы никогда раньше не видели, у вас появляется стимул для дальнейших исследований.
Запустите анализатор / графограф веб-журнала, например webalizer или awstats. Опять же, ознакомьтесь с тем, как выглядят обычные операции, чтобы вы могли быстро распознать, когда что-то не так.
Запустите отдельный сервер журналов - предпочтительно на минимальной, усиленной системой безопасности, которая больше ничего не работает - и настройте свои серверы для отправки на них своих журналов. Это значительно усложняет злоумышленнику скрывать свои следы.