Попытка взломать?

Я только начал видеть, что это появляется в наших журналах сервера...

/ Р / 2112 / FBA73F59E6F7E78CCFF29DD8BDF46ECCAE5B73145E023BFB207C971E835645245C62CA0296DA6CDA4E62613A9C10C0DADBA941D2AD68005E57EFDC84A8ECD0ADC37C0214AD76755E48D6D1BAABF

Это продолжается и продолжается некоторое время. На самом деле это менее 10% от одного такого события, и есть много подобных событий.

Я подозреваю, что была предпринята попытка взлома, поскольку на нашем сервере нет папки с именем "/ P /".

Кто-нибудь это признает?

Кстати, причина, по которой я смотрел журналы в то время, заключалась в том, что наш сервер только что вышел из строя, и я не могу не задаться вопросом, связано ли это.

Сервер Apache/2.0.54 (Unix) PHP/4.4.2 mod_ssl/2.0.54 OpenSSL/0.9.7a JRun/4.0

2 ответа

Решение

Похоже, атака шелл-кода переполнения буфера. Я ожидаю, что длина URL составляет не менее 4096 символов. В HTTP RFC не указывается максимальная длина URL-адреса, хотя на большинстве основных серверов существуют неявные ограничения, поэтому злоумышленник может попытаться вызвать переполнение буфера.

Я хотел бы убедиться, что вы прочитали заметки о выпуске для своего текущего веб-сервера и проверили, нет ли проблем с безопасностью.

Какой источник IP? Возможно, это какая-то DoS-атака или попытка переполнения буфера. Вы можете опубликовать всю линию?

Другие вопросы по тегам