beim Studium der Logdateien meines Apache-Webservers (Apache 2.2.19,
Linux) sind mir u.a. die folgenden Versuche aufgefallen:
95.119.74.29 - - [02/Sep/2011:07:02:13 +0200]
"\xd5z\xb4P\xd3\xe3\x8a\xa1\xb9\x91\x96s\"\x18" 403 202
92.226.44.236 - - [02/Sep/2011:09:10:31 +0200] "$\xc4" 403 202
24.16.26.188 - - [02/Sep/2011:09:45:51 +0200] "(\x03\xca\xed'\x9a\x05\x1f\xde\x9e\x05\x86\x15\x1e\xbf\xa3=V8" 403 202
80.130.135.223 - - [02/Sep/2011:16:03:47 +0200] "\xd8\x03\xeb\xec" 403 202
Was wollen die Anrufer erreichen?
Muss ich mir Sorgen machen? Im speziellen Fall wurden die Versuche ja
abgeblockt.
Und die Provider dieser Adressen stehen wohl nicht unter Generalverdacht
(Telefonica, Alice und Telekom sicherlich nicht).
Viele Gruesse!
Helmut
Am 02.09.2011 16:51, schrieb Helmut Hullen:
> Hallo alle miteinander,
>
> beim Studium der Logdateien meines Apache-Webservers (Apache 2.2.19,
> Linux) sind mir u.a. die folgenden Versuche aufgefallen:
>
> 95.119.74.29 - - [02/Sep/2011:07:02:13 +0200]
> "\xd5z\xb4P\xd3\xe3\x8a\xa1\xb9\x91\x96s\"\x18" 403 202
...
> Was wollen die Anrufer erreichen?
Eine Verschleierung der Anfragen.
> Muss ich mir Sorgen machen? Im speziellen Fall wurden die Versuche ja
> abgeblockt.
Da das ziemlich sicher ein versuchter Angriff war, würde ich mir schon
anschauen, wo sie hin wollten. Vielleicht hilft dir das da weiter:
http://www.blacksheepnetworks.com/security/info/misc/tricks.html. Es
gibt auch Werkzeuge, mit denen du die Hex-Werte "rückübersetzen" kannst.
Grüße,
Alex
Du meintest am 02.09.11:
>> beim Studium der Logdateien meines Apache-Webservers (Apache 2.2.19,
>> Linux) sind mir u.a. die folgenden Versuche aufgefallen:
>>
>> 95.119.74.29 - - [02/Sep/2011:07:02:13 +0200]
>> "\xd5z\xb4P\xd3\xe3\x8a\xa1\xb9\x91\x96s\"\x18" 403 202
>> 92.226.44.236 - - [02/Sep/2011:09:10:31 +0200] "$\xc4" 403 202
>> 24.16.26.188 - - [02/Sep/2011:09:45:51 +0200]
>> "(\x03\xca\xed'\x9a\x05\x1f\xde\x9e\x05\x86\x15\x1e\xbf\xa3=V8"
>> 403 202
>> 80.130.135.223 - - [02/Sep/2011:16:03:47 +0200] "\xd8\x03\xeb\xec"
>> 403 202
>> Was wollen die Anrufer erreichen?
> Eine Verschleierung der Anfragen.
>> Muss ich mir Sorgen machen? Im speziellen Fall wurden die Versuche
>> ja abgeblockt.
> Da das ziemlich sicher ein versuchter Angriff war, würde ich mir
> schon anschauen, wo sie hin wollten. Vielleicht hilft dir das da
> weiter: http://www.blacksheepnetworks.com/security/info/misc/tricks.h
> tml. Es gibt auch Werkzeuge, mit denen du die Hex-Werte
> "rückübersetzen" kannst.
Soweit klar, dass das nur eine Verschleierung ist, und hex lesen kann
ich noch so einigermassen.
Aber insbesondere die zweite und die 4. Anfrage enthalten nichts, was
ein verschleierter URL sein könnte.
Ok - "\xd8\x03\xeb\xec" könnte eine IP-Adresse sein. Aber was soll
"$\xc4" bewirken?
Viele Gruesse!
Helmut
> Hallo alle miteinander,
>
> beim Studium der Logdateien meines Apache-Webservers (Apache 2.2.19,
Updaten nicht vergessen.
http://www.heise.de/security/meldung/Apache-Update-behebt-Byte-Range-Schwachstelle-1333772.html
Thomas