Попытки взлома в логах

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
goshanecr
сержант
Сообщения: 252
Зарегистрирован: 2008-03-31 15:54:49
Откуда: Пермь, Екатеринбург
Контактная информация:

Попытки взлома в логах

Непрочитанное сообщение goshanecr » 2010-02-10 21:21:23

Привет всем!
Просматривая логи апача, регулярно вижу наряду с обычными атаками типа поиск известных веб-приложений по определённым путям, вижу такие записи:

Код: Выделить всё

85.15.88.155 - - [10/Feb/2010:15:29:57 +0500] ",\xf8\xd5L#\xaa>\xd8s\xe7;\xfe\xe4\xde\xc2\xe4}\xc0\xda \xc4Z!\xefl\xc7=\x86Z\xe54\xa5\xbf\x18\xd6_\xc8\x02\x7f\xdb9\x11x\"_7\x1e\xbdc\xa7\xb1y\x98\xc4\x7ft\x10;[\x01\xc2\x95{\xa2" 400 -
92.127.87.49 - - [10/Feb/2010:17:30:16 +0500] "eUG\x8a\xffw\xf9\x0e\xc9(U~\xffh?\x87 8f\xbd\xa0\xdc\xd4\x8b\x91\x037?+\xcc\xcc\xe6\xe3\x97\xa8Z\xe3\xac\x89\b+\x1c\xfe\x015\xa7\xf3\x18" 400 -
94.75.186.189 - - [10/Feb/2010:17:32:36 +0500] "\x878\baj\x19k\xf9\xf3\xbb\xfd\xd7(\xab\xc2\x04\xd7\x04\xf9\xc9u\x8e\x9e\x87!\xdf\xe2\xeeh\x0c\xd7S\xab\xd0\xfe%" 400 -
91.179.95.220 - - [10/Feb/2010:19:32:56 +0500] "&\b<\xdamC\x81\x82\xc7%\x1baN\xb3\x01C\xe8\x04x@\x9e\x93u" 200 12968
Причём в последней записи стоит код ответа 200 и размер отданной странички 12 кб, можете помочь понять что это с меня скачали? :)
Люблю в инете шарить. И браузер мой только Opera !!!
Пользователям стараюсь ставить дистр Ubuntu. Уже 3 человека пересели.
Домашний комп FreeBSD 9.0 amd64
FreeBSD - изменим жизнь к лучшему!

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: Попытки взлома в логах

Непрочитанное сообщение schizoid » 2010-02-11 11:05:02

а если самому такой запрос выполнить и посмотреть что будет, не вариант?
ядерный взрыв...смертельно красиво...жаль, что не вечно...

Аватара пользователя
Sun
ст. прапорщик
Сообщения: 500
Зарегистрирован: 2008-07-14 18:27:14
Откуда: Красноярск
Контактная информация:

Re: Попытки взлома в логах

Непрочитанное сообщение Sun » 2010-02-11 11:18:42

schizoid в как такой запрос выполнить? Просто вбить в консоли и все?

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: Попытки взлома в логах

Непрочитанное сообщение schizoid » 2010-02-11 14:57:24

думаю да, только не в консоли.
ядерный взрыв...смертельно красиво...жаль, что не вечно...

Аватара пользователя
goshanecr
сержант
Сообщения: 252
Зарегистрирован: 2008-03-31 15:54:49
Откуда: Пермь, Екатеринбург
Контактная информация:

Re: Попытки взлома в логах

Непрочитанное сообщение goshanecr » 2010-02-11 15:58:18

Да, всё оказалось безопасно. Отдавалась просто заглавная страница. Сделал так:
В логах была запись:

Код: Выделить всё

90.50.235.234 - - [11/Feb/2010:05:33:39 +0500] "*\xbe\xc6\x82\x80\x8b\x99e\x1a5i\x88EVG\x03\xa8\xcb\xdd\xf8\xa4\x12\x86\xcdcg\xea\x15\xf0B(\x04\x81?\"\x85" 200 12966
мутим telnet мой_ип 80
ну и вставил туда эту скопированную строчку (хотя это конечно неверно, там ведь экранированные апачем специально для занесения в лог коды символов.)

Код: Выделить всё

*\xbe\xc6\x82\x80\x8b\x99e\x1a5i\x88EVG\x03\xa8\xcb\xdd\xf8\xa4\x12\x86\xcdcg\xea\x15\xf0B(\x04\x81?\"\x85
Сервер отдаёт заглавную страницу и в логе такая запись:

Код: Выделить всё

172.16.254.1 - - [11/Feb/2010:17:52:01 +0500] "*\\xbe\\xc6\\x82\\x80\\x8b\\x99e\\x1a5i\\x88EVG\\x03\\xa8\\xcb\\xdd\\xf8\\xa4\\x12\\x86\\xcdcg\\xea\\x15\\xf0B(\\x04\\x81?\\\"\\x85" 200 12966
Строка запроса конечно изменилась но по идентичному размеру выданных страничек ясно что результат одинаков. :)
Люблю в инете шарить. И браузер мой только Opera !!!
Пользователям стараюсь ставить дистр Ubuntu. Уже 3 человека пересели.
Домашний комп FreeBSD 9.0 amd64
FreeBSD - изменим жизнь к лучшему!