forum.lissyara.su

Мы — долго запрягаем, быстро ездим, и сильно тормозим.
https://forum.lissyara.su/

Попытки взлома в логах

https://forum.lissyara.su/viewtopic.php?f=4&t=24038

Страница 1 из 1

Попытки взлома в логах

Добавлено: 2010-02-10 21:21:23
goshanecr
Привет всем!
Просматривая логи апача, регулярно вижу наряду с обычными атаками типа поиск известных веб-приложений по определённым путям, вижу такие записи:

Код: Выделить всё

85.15.88.155 - - [10/Feb/2010:15:29:57 +0500] ",\xf8\xd5L#\xaa>\xd8s\xe7;\xfe\xe4\xde\xc2\xe4}\xc0\xda \xc4Z!\xefl\xc7=\x86Z\xe54\xa5\xbf\x18\xd6_\xc8\x02\x7f\xdb9\x11x\"_7\x1e\xbdc\xa7\xb1y\x98\xc4\x7ft\x10;[\x01\xc2\x95{\xa2" 400 -
92.127.87.49 - - [10/Feb/2010:17:30:16 +0500] "eUG\x8a\xffw\xf9\x0e\xc9(U~\xffh?\x87 8f\xbd\xa0\xdc\xd4\x8b\x91\x037?+\xcc\xcc\xe6\xe3\x97\xa8Z\xe3\xac\x89\b+\x1c\xfe\x015\xa7\xf3\x18" 400 -
94.75.186.189 - - [10/Feb/2010:17:32:36 +0500] "\x878\baj\x19k\xf9\xf3\xbb\xfd\xd7(\xab\xc2\x04\xd7\x04\xf9\xc9u\x8e\x9e\x87!\xdf\xe2\xeeh\x0c\xd7S\xab\xd0\xfe%" 400 -
91.179.95.220 - - [10/Feb/2010:19:32:56 +0500] "&\b<\xdamC\x81\x82\xc7%\x1baN\xb3\x01C\xe8\x04x@\x9e\x93u" 200 12968
Причём в последней записи стоит код ответа 200 и размер отданной странички 12 кб, можете помочь понять что это с меня скачали? :)

Re: Попытки взлома в логах

Добавлено: 2010-02-11 11:05:02
schizoid
а если самому такой запрос выполнить и посмотреть что будет, не вариант?

Re: Попытки взлома в логах

Добавлено: 2010-02-11 11:18:42
Sun
schizoid в как такой запрос выполнить? Просто вбить в консоли и все?

Re: Попытки взлома в логах

Добавлено: 2010-02-11 14:57:24
schizoid
думаю да, только не в консоли.

Re: Попытки взлома в логах

Добавлено: 2010-02-11 15:58:18
goshanecr
Да, всё оказалось безопасно. Отдавалась просто заглавная страница. Сделал так:
В логах была запись:

Код: Выделить всё

90.50.235.234 - - [11/Feb/2010:05:33:39 +0500] "*\xbe\xc6\x82\x80\x8b\x99e\x1a5i\x88EVG\x03\xa8\xcb\xdd\xf8\xa4\x12\x86\xcdcg\xea\x15\xf0B(\x04\x81?\"\x85" 200 12966
мутим telnet мой_ип 80
ну и вставил туда эту скопированную строчку (хотя это конечно неверно, там ведь экранированные апачем специально для занесения в лог коды символов.)

Код: Выделить всё

*\xbe\xc6\x82\x80\x8b\x99e\x1a5i\x88EVG\x03\xa8\xcb\xdd\xf8\xa4\x12\x86\xcdcg\xea\x15\xf0B(\x04\x81?\"\x85
Сервер отдаёт заглавную страницу и в логе такая запись:

Код: Выделить всё

172.16.254.1 - - [11/Feb/2010:17:52:01 +0500] "*\\xbe\\xc6\\x82\\x80\\x8b\\x99e\\x1a5i\\x88EVG\\x03\\xa8\\xcb\\xdd\\xf8\\xa4\\x12\\x86\\xcdcg\\xea\\x15\\xf0B(\\x04\\x81?\\\"\\x85" 200 12966
Строка запроса конечно изменилась но по идентичному размеру выданных страничек ясно что результат одинаков. :)
Часовой пояс: UTC+03:00
Страница 1 из 1
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/