Rejtélyes kérés az Apache2 felé

Security-all

Jó reggelt!

Nemrég a webalizer panaszkodni kezdett, hogy le kellett vágnia egy túl hosszú kérést, és nem is veszi azt figyelembe. Megkerestem a sort az apache access.log -jában, és ezt a kérést találtam:

u\xa6\x98V\xec\xc4=\xd5\x077_\xdf\xe0\b:\x88\xa8\x17\xcc6.1\xe7\x07\xb0v\x9d\x90p\x94dv\xedDd\xbe\xce\xfb\x8f\xb3\",\x85\xf9\xf0\x87\xc4

A furcsa, hogy a sor végén az apche cálasza: 200 (vagyis OK).

Látott már valaki hasonlót?
Csak feleslegesen aggodalmaskodom?
Mindenesetre gyanúsnak tűnik...

Előre is köszönöm a segítséget

  • 2271 megtekintés

( junior013 | 2009. 10. 09., p – 08:10 )

Az eleje nincs meg? Hogy milyen .html vagy .php kapta ezt paraméterként? Nekem mindenképp valami injection gyanús. Vissza kéne fejteni a hexát.

Természetesen itt van a teljes sor is:

X.X.X.X - - [02/Oct/2009:09:17:27 +0200] "u\xa6\x98V\xec\xc4=\xd5\x077_\xdf\xe0\b:\x88\xa8\x17\xcc6.1\xe7\x07\xb0v\x9d\x90p\x94dv\xedDd\xbe\xce\xfb\x8f\xb3\",\x85\xf9\xf0\x87\xc4" 200 14767 "-" "-"

Nekem úgy tűnik, hogy nem egy lapot kértek, és nem is böngészőből (vagy nem látszik). Mintha direktben lőtték volna meg ezzel a kis kóddal a 80-as portot...

---
"A megoldásra kell koncentrálni nem a problémára."

( hg2ebh | 2009. 10. 10., szo – 15:05 )

A fenti témával kapcsolatban: apache2 konfigban be lehet állítani valahol, hogy max. hány karakter hosszúságú kérést szolgáljon ki?

( samuf v | 2009. 10. 13., k – 07:17 )

Én megnézném az Apache "error.log"-jait nincs-e benne olyan bejegyzés mint a wget letöltési kimenete. Ha van akkor szinte biztos, hogy valamilyen kódot bejuttattak a gépre. Nézd meg a "/var/tmp" könyvtárat nincsenek-e benne *.c állományok. Esetleg furcsa nevű binárisok a "/tmp"-be, vagy valamilyen szokatlan időzített utasítás a crontab-nak "/var/spool/cron/crontabs" alatt.

2 szerverünknél is jelentkeztek az általam leírt tünetek, az Apache2 default config-gal ment.