seltsamer Aufruf im Apache Log
Encoder
- webserver
0 Der Martin0 Encoder0 Bocho0 Der Martin0 Encoder
1 Blubb
Hallo
Ich habe gerade meinen lokalen Apache eingeschaltet, um etwas zu testen.
Nachdem der nach außen sichtbar ist, kommt man auch von außen drauf wenn er läuft.
Im Log steht eine Zeile dieser Art
IP.IP.IP.IP - - [01/Jul/2013:21:25:04 +0200] "YC\xd4/\x1f\x118\xb8\x11\xef\x94\xcc\xe5O ......
der String geht so ein Stück weiter. Hat jemand eine Ahnung was das soll?
Ist das ein Exploit für einen Servertyp? Meiner konnte damit nichts anfangen und hat 501 zurückgegeben.
Hi,
Ich habe gerade meinen lokalen Apache eingeschaltet, um etwas zu testen.
Nachdem der nach außen sichtbar ist, kommt man auch von außen drauf wenn er läuft.
Im Log steht eine Zeile dieser ArtIP.IP.IP.IP - - [01/Jul/2013:21:25:04 +0200] "YC\xd4/\x1f\x118\xb8\x11\xef\x94\xcc\xe5O ......
um etwas Konkretes zu sagen, müsste man wissen, was welches Feld bedeutet. Das letzte ist vermutlich Request URI, aber wofür stehen die beiden Striche? Und was war Request Method? GET? HEAD? POST? PUT?
der String geht so ein Stück weiter. Hat jemand eine Ahnung was das soll?
Nicht wirklich. Ich hatte meinen Schreibtisch-Apachen auch eine Weile von außen erreichbar, und da kamen regelmäßig seltsame Requests mit kilobyte-langen Request URIs, die der Indianer brav abgelehnt hat. Was das sollte, ist mir bis heute nicht wirklich klar.
Ist das ein Exploit für einen Servertyp? Meiner konnte damit nichts anfangen und hat 501 zurückgegeben.
Solange du das nicht mit irgendwelchen konkreten Absichten in Verbindung bringen kannst, okay. Solange dein Apache das mit Statuscodes 4xx oder 5xx beantwortet, auch gut. Dann ist es wie SPAM-Mails: Lästig, aber nicht weiter schlimm.
So long,
Martin
Das ist ein Auszug aus dem access.log.
Die Striche sind bei allen Einträgen, das sind wohl Infos die aktuell nicht verfügbar sind.
Und was war Request Method? GET? HEAD? POST? PUT?
Den gabs hier nicht. Das komische Zeugs kam anstelle des Requests.
Der nachfolgende Eintrag lautet beispielsweise
127.0.0.1 - - [01/Jul/2013:21:28:10 +0200] "GET /testpage HTTP/1.1" 301 231
Hallo,
Das ist ein Auszug aus dem access.log.
ja, das dachte ich mir schon. Aber das Format (also welche Informationen in welcher Reihenfolge gelistet werden) ist ja frei konfigurierbar.
Die Striche sind bei allen Einträgen, das sind wohl Infos die aktuell nicht verfügbar sind.
Möglicherweise sowas wie AUTH_USER oder so.
Und was war Request Method? GET? HEAD? POST? PUT?
Den gabs hier nicht. Das komische Zeugs kam anstelle des Requests.
Der nachfolgende Eintrag lautet beispielsweise
127.0.0.1 - - [01/Jul/2013:21:28:10 +0200] "GET /testpage HTTP/1.1" 301 231
Ah, verstehe. Dann war das also nicht einmal korrektes HTTP, sondern einfach nur Schrott. So, als hätte jemand einfach mal eine Verbindung zu Port 80 aufgemacht und irgendwelchen Müll geschickt. Ein Grund mehr, das einfach zu ignorieren, und völlig richtig, dass dein Indianer das mit 501 (Bad Request) beantwortet.
Ciao,
Martin
Hi!
Nicht wirklich. Ich hatte meinen Schreibtisch-Apachen auch eine Weile von außen erreichbar, und da kamen regelmäßig seltsame Requests mit kilobyte-langen Request URIs, die der Indianer brav abgelehnt hat. Was das sollte, ist mir bis heute nicht wirklich klar.
durch portforwarding deines Routers?
Hallo,
Ich hatte meinen Schreibtisch-Apachen auch eine Weile von außen erreichbar, und da kamen regelmäßig seltsame Requests mit kilobyte-langen Request URIs, die der Indianer brav abgelehnt hat. Was das sollte, ist mir bis heute nicht wirklich klar.
durch portforwarding deines Routers?
nein, was sollte das für eine Rolle spielen? Das ist ja nur eine 1:1-Durchreiche auf TCP-Ebene. Das wesentlich höher im Protokollstack angesiedelte HTTP wird dabei transparent durchvermittelt.
Nein, es war wohl ein Gag, der damals gerade "in" war, um ältere Apachen durch einen Buffer Overflow aufgrund eines überlangen Request URI abzuschießen. Mein Apache 2.0 hat das damals aber ordnungsgemäß mit einem 414 quittiert - das einzig Lästige waren die vollgemüllten Logs.
Ciao,
Martin
Mein erster Eindruck war ja, dabei handelt es sich um etwas codiertes. Immerhin sind etliche \x.. drin. Aber wenn man die umwandelt kommt trotzdem nichts sinnvolles raus.
Hallo,
IP.IP.IP.IP - - [01/Jul/2013:21:25:04 +0200] "YC\xd4/\x1f\x118\xb8\x11\xef\x94\xcc\xe5O ......
sowas sehe ich bei mir, wenn jemand HTTPS an Port 80 sendet. Ist komisch, tut aber nicht weh - deshalb kann dein Webserver auch nicht erkennen, um was genau es sich gehandelt hat (war ja verschlüsselt).
Grüße