Strange Inicia sesión en Apache

2

Encontré en mi registro de Apache algo extraño en la solicitud de URL / método solicitada (sospecho que hay un intento de pirateo):

\x1b\x95J\xe2h\xa7\xcfj\xe1'\x85R\x1f\x98\x9e\xcf\xdedFM(\xa8\xbcc\xc0P\xd9::e\xed\xaa~L\x88\x19\xca

línea de registro completa:

localhost:80 [REDACTED IP] - - [05/Nov/2015:11:04:05 +0100] "\x1b\x95J\xe2h\xa7\xcfj\xe1'\x85R\x1f\x98\x9e\xcf\xdedFM(\xa8\xbcc\xc0P\xd9::e\xed\xaa~L\x88\x19\xca \xbfs\x7f " 400 226 "-" "-"

localhost:80 [REDACTED IP] - - [05/Nov/2015:07:04:14 +0100] "{\xd8\xc7/ \xef\x02\xbc9~\xdb" 400 226 " - "" - "

Ya vi este tipo de código en código PHP para forzar que se ejecute algo como el código compilado o algo así, permanece oscuro en mi mente.

  • ¿Qué es este código (idioma)?
  • ¿Puedo traducirlo?
  • Cualquier información global que me ayude a entender ...
pregunta Froggiz 05.11.2015 - 13:25
fuente

1 respuesta

1

En ese campo donde se ve el "código extraño" es donde se ve la solicitud HTTP que se realizó al servidor, por ejemplo, "GET / HTTP / 1.1".

Esa línea de registro significa que alguien se conectó a tu servidor y envía ese "código extraño" en lugar de una solicitud HTTP normal, podría ser un exploit para tu servidor actual o intentar explotar el error de shellshock.

Una buena cosa que hacer ahora es tratar de verificar si hay algunos errores conocidos para tu versión actual de Apache, y probar tu sistema contra el shellshock exploit.

  • Cómo reproducirlo: printf "\ x1b \ x95J \ xe2h \ xa7 \ xcfj \ xe1 '\ x85R \ x1f \ x98 \ x9e \ xcf \ xdedfM (\ xa8 \ xbcc \ xcc \ xc0P \ xd9 :: e \ xed \ xaa ~ L \ x88 \ x19 \ xca \ xbfs \ x7f "| nc -n -i 1 www.website.com 80

  • Cómo obtener el código convertido: printf "\ x1b \ x95J \ xe2h \ xa7 \ xcfj \ xe1 '\ x85R \ x98 \ x9e \ xcf \ xdedFM (\ xa8 \ xbcc \ xc0P \ xd9: : e \ xed \ xaa ~ L \ x88 \ x19 \ xca \ xbfs \ x7f "

respondido por el unknown 06.11.2015 - 00:44
fuente

Lea otras preguntas en las etiquetas