Apache - strane richieste nei log

5

Sto eseguendo webserver su Debian8 a 64 bit ( 2.6.32-042stab120.16 ) con Apache / 2.4.10. Oggi in Apache access.log ho trovato queste voci:

164.52.7.132 - - [26/Jun/2017:07:16:23 -0400] "\x16\x03\x01\x01\"\x01" 400 0 "-" "-"
164.52.7.132 - - [26/Jun/2017:07:16:30 -0400] "USER test +iw test :Test Wuz Here" 400 0 "-" "-"
164.52.7.132 - - [26/Jun/2017:07:16:30 -0400] "GET / HTTP/1.1" 200 4191 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0"l,

Sono consapevole che qualcuno sta provando a testare alcune vulnerabilità sul mio server web. Sono preoccupato soprattutto della prima richiesta di questo host: cosa può essere, qualche funzione codificata in hex o dec?

Devo fare altri controlli su questo server?

Si tratta di una vulnerabilità nota? Se sì, posso proteggere in qualche modo da questo tipo di attacchi?

    
posta d324223 26.06.2017 - 19:56
fonte

1 risposta

5

I'm concerned especially about first request from this host - what may this be, some function coded in hex or dec?

Quello che vedi in \x16\x03\x01\x01... è solo l'inizio di un handshake TLS 1.0, vale a dire il tipo di contenuto (0x16 = handshake) seguito dalla versione TLS (0x0301 = TLS 1.0). Sembra che qualcuno abbia provato a parlare HTTPS sulla porta 80 anziché su 443.

    
risposta data 26.06.2017 - 21:29
fonte

Leggi altre domande sui tag