Strange Accedi ad Apache

2

Ho trovato nel mio log di Apache qualcosa di strano nella richiesta di URL / metodo richiesta (sospetto un tentativo di hacking):

\x1b\x95J\xe2h\xa7\xcfj\xe1'\x85R\x1f\x98\x9e\xcf\xdedFM(\xa8\xbcc\xc0P\xd9::e\xed\xaa~L\x88\x19\xca

riga di log completa:

localhost:80 [REDACTED IP] - - [05/Nov/2015:11:04:05 +0100] "\x1b\x95J\xe2h\xa7\xcfj\xe1'\x85R\x1f\x98\x9e\xcf\xdedFM(\xa8\xbcc\xc0P\xd9::e\xed\xaa~L\x88\x19\xca \xbfs\x7f " 400 226 "-" "-"

localhost:80 [REDACTED IP] - - [05/Nov/2015:07:04:14 +0100] "{\xd8\xc7/ \xef\x02\xbc9~\xdb" 400 226 " - "" - "

Ho già visto questo tipo di codice nel codice PHP per forzare qualcosa come codice ricompilato da eseguire o qualcosa del genere, rimane oscuro nella mia mente.

  • Che cos'è questo codice (lingua)?
  • Posso tradurlo?
  • Qualsiasi informazione globale che possa aiutarmi a capire ...
posta Froggiz 05.11.2015 - 13:25
fonte

1 risposta

1

In quel campo in cui vedi lo "strano codice" è dove vedi la richiesta HTTP che è stata fatta al server, ad esempio "GET / HTTP / 1.1".

Quella linea di log significa che qualcuno è connesso al tuo server e invia quel "codice strano" invece di una normale richiesta HTTP, potrebbe essere un exploit per il tuo server corrente o provare a sfruttare il bug di shellshock.

Una buona cosa da fare ora è cercare di verificare se ci sono alcuni bug noti per la tua attuale versione di Apache, e testare l'exploit shellshock del sistema di nuovo.

  • Come riprodurlo: printf "\ x1b \ x95J \ xe2h \ xa7 \ xcfj \ xe1 '\ x85R \ x1f \ x98 \ x9e \ xcf \ xdedFM (\ xa8 \ xbcc \ xc0P \ xd9 :: e \ xed \ xaa ~ L \ x88 \ x19 \ xca \ xbfs \ x7f "| nc -n -i 1 www.website.com 80

  • Come ottenere il codice convertito: printf "\ x1b \ x95J \ xe2h \ xa7 \ xcfj \ xe1 '\ x85R \ x1f \ x98 \ x9e \ xcf \ xdedFM (\ xa8 \ xbcc \ xc0P \ xd9: : e \ xed \ xaa ~ L \ x88 \ x19 \ xca \ xbfs \ x7f "

risposta data 06.11.2015 - 00:44
fonte

Leggi altre domande sui tag