Httpd

httpd-access.log 中的以下幾行是什麼意思?

  • September 3, 2010

有問題的行是

124.178.138.134 - - [03/Sep/2010:00:05:35 +1000] "\x1e\xaa\xb7P\xcfL\x1eeV*" 200 1617 "-" "-"
203.29.140.81 - - [03/Sep/2010:00:14:58 +1000] "5A\xe8o8*\x1bWxg\x84L\xa2\x04\x13}y\xbc\xd8\xf7" 200 1617 "-" "-"
120.16.62.30 - - [03/Sep/2010:00:21:01 +1000] "\x8b\x9d\x1b\xe4\x8b\x12\x82P\xd83&\x98\\\x89\xc2\x149`9\xac\xd1\xa4!" 200 1617 "-" "-"
86.57.229.206 - - [03/Sep/2010:02:05:53 +1000] "\xaeA\x94\xbd\x95H" 200 1617 "-" "-"

我假設\x1e我經常看到GET / HTTP/1.1的等是轉義字元程式碼。200 1617匹配它周圍的線條,據我所知,1617 是首頁的大小。有什麼想法嗎?這是在 FreeBSD 8.0 GENERIC 上安裝 apache 2.2。

編輯:剛剛被另一個擊中。

121.209.160.33 - - [03/Sep/2010:18:08:33 +1000] "\rz\x85\x0e\xbc\xc2U\xeb/9\x12\x8a-\x8d\x1df\xf8\x11\x8c\xc0\x1b,r" 400 226 "-" "-"

通常,這些最有可能是針對 IIS 伺服器的攻擊(尤其是針對 WebDav 漏洞的攻擊)。

如果我理解正確的話,一開始就足以溢出緩衝區,剩下的就是打開系統訪問權限的 shellcode。像 Snort 這樣的入侵檢測系統可以檢測到這些嘗試並在到達 Web 伺服器之前拒絕送出。

至於 Apache,只要您確保保持更新,您通常是安全的。如果您密切關注訪問日誌,您會看到大量來自機器人的日誌,它們只是隨機嘗試感染其他伺服器並進一步傳播。

引用自:https://serverfault.com/questions/177637