Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

Hex-Anfragen

2 views
Skip to first unread message

Helmut Hullen

unread,
Sep 2, 2011, 10:51:00 AM9/2/11
to
Hallo alle miteinander,

beim Studium der Logdateien meines Apache-Webservers (Apache 2.2.19,
Linux) sind mir u.a. die folgenden Versuche aufgefallen:

95.119.74.29 - - [02/Sep/2011:07:02:13 +0200]
"\xd5z\xb4P\xd3\xe3\x8a\xa1\xb9\x91\x96s\"\x18" 403 202

92.226.44.236 - - [02/Sep/2011:09:10:31 +0200] "$\xc4" 403 202

24.16.26.188 - - [02/Sep/2011:09:45:51 +0200] "(\x03\xca\xed'\x9a\x05\x1f\xde\x9e\x05\x86\x15\x1e\xbf\xa3=V8" 403 202

80.130.135.223 - - [02/Sep/2011:16:03:47 +0200] "\xd8\x03\xeb\xec" 403 202

Was wollen die Anrufer erreichen?
Muss ich mir Sorgen machen? Im speziellen Fall wurden die Versuche ja
abgeblockt.

Und die Provider dieser Adressen stehen wohl nicht unter Generalverdacht
(Telefonica, Alice und Telekom sicherlich nicht).

Viele Gruesse!
Helmut

Alexander Schestag

unread,
Sep 2, 2011, 12:39:48 PM9/2/11
to
Hi

Am 02.09.2011 16:51, schrieb Helmut Hullen:
> Hallo alle miteinander,
>
> beim Studium der Logdateien meines Apache-Webservers (Apache 2.2.19,
> Linux) sind mir u.a. die folgenden Versuche aufgefallen:
>
> 95.119.74.29 - - [02/Sep/2011:07:02:13 +0200]
> "\xd5z\xb4P\xd3\xe3\x8a\xa1\xb9\x91\x96s\"\x18" 403 202

...


> Was wollen die Anrufer erreichen?

Eine Verschleierung der Anfragen.

> Muss ich mir Sorgen machen? Im speziellen Fall wurden die Versuche ja
> abgeblockt.

Da das ziemlich sicher ein versuchter Angriff war, würde ich mir schon
anschauen, wo sie hin wollten. Vielleicht hilft dir das da weiter:
http://www.blacksheepnetworks.com/security/info/misc/tricks.html. Es
gibt auch Werkzeuge, mit denen du die Hex-Werte "rückübersetzen" kannst.

Grüße,

Alex

Helmut Hullen

unread,
Sep 2, 2011, 1:10:00 PM9/2/11
to
Hallo, Alexander,

Du meintest am 02.09.11:

>> beim Studium der Logdateien meines Apache-Webservers (Apache 2.2.19,
>> Linux) sind mir u.a. die folgenden Versuche aufgefallen:
>>
>> 95.119.74.29 - - [02/Sep/2011:07:02:13 +0200]
>> "\xd5z\xb4P\xd3\xe3\x8a\xa1\xb9\x91\x96s\"\x18" 403 202

>> 92.226.44.236 - - [02/Sep/2011:09:10:31 +0200] "$\xc4" 403 202

>> 24.16.26.188 - - [02/Sep/2011:09:45:51 +0200]
>> "(\x03\xca\xed'\x9a\x05\x1f\xde\x9e\x05\x86\x15\x1e\xbf\xa3=V8"
>> 403 202

>> 80.130.135.223 - - [02/Sep/2011:16:03:47 +0200] "\xd8\x03\xeb\xec"
>> 403 202

>> Was wollen die Anrufer erreichen?

> Eine Verschleierung der Anfragen.

>> Muss ich mir Sorgen machen? Im speziellen Fall wurden die Versuche
>> ja abgeblockt.

> Da das ziemlich sicher ein versuchter Angriff war, würde ich mir
> schon anschauen, wo sie hin wollten. Vielleicht hilft dir das da
> weiter: http://www.blacksheepnetworks.com/security/info/misc/tricks.h
> tml. Es gibt auch Werkzeuge, mit denen du die Hex-Werte
> "rückübersetzen" kannst.

Soweit klar, dass das nur eine Verschleierung ist, und hex lesen kann
ich noch so einigermassen.

Aber insbesondere die zweite und die 4. Anfrage enthalten nichts, was
ein verschleierter URL sein könnte.
Ok - "\xd8\x03\xeb\xec" könnte eine IP-Adresse sein. Aber was soll
"$\xc4" bewirken?

Viele Gruesse!
Helmut

Thomas Braun

unread,
Sep 5, 2011, 3:25:39 AM9/5/11
to
Helmut Hullen wrote:

> Hallo alle miteinander,
>
> beim Studium der Logdateien meines Apache-Webservers (Apache 2.2.19,

Updaten nicht vergessen.

http://www.heise.de/security/meldung/Apache-Update-behebt-Byte-Range-Schwachstelle-1333772.html

Thomas

0 new messages