Что это за подвиг?
Сайт нашей компании только что заработал, и самая первая запись в access.log выглядит как пробный эксплойт:) Есть идеи, о какой это может быть?
Вот соответствующая строка:
79.168.7.121 - - [28 / Jan / 2011: 13: 19: 25 +0100] "Z \ xc0 \ xf5 \ x95 \ xb8Un \ xff \ x9ecA \ xd1 \ xc2 / \ xfc \ x94n \ x8epeM \ xdc \ x18 # \ xb3 \ xc8 \ xa5 \ xbe) \ xbci \ xe2 \ xf5 \ x02, \ x97 \ xc0 \ x96 \ x9e \ xa9 \ xf8; i \ x1a \ x86 \ x01 "200 4855" - "" - "
3 ответа
Я не хочу сбрасывать со счетов обоснованность вашего вопроса, но после определенного момента погоня за этим типом трафика журнала просто становится чрезмерно дорогостоящей. Сценаристы, автоматизированные боты-тестеры, плохо спроектированные веб-пауки - все они в какой-то момент посетят ваш веб-сервер, и все они оставят странные записи в ваших журналах доступа. Что нужно рассмотреть и разработать стратегию анализа журналов, чтобы разобраться, это когда доступ к привилегированным ресурсам предоставляется в соответствии с этими странными линиями; Вы должны основывать свой анализ журнала на обнаружении неожиданного привилегированного доступа, а не неожиданных запросов. Подумайте, как связать журналы доступа вашего веб-сервера с журналами вашего веб-приложения, чтобы получить лучшее представление о том, что на самом деле представляет собой неожиданный доступ. Я понимаю, что это довольно общий совет, но я надеюсь, что он несколько полезен.
IP-адрес из Лиссабона, Португалия (как вам скажет любая служба GeoIP). Экранирование "\x" - это экранирование для указания кодовых точек Unicode, поэтому они должны разрешать что-то более или менее значимое.
Но кажется, что запросы дали HTTP 200?