¿Qué tipo de ataque envía cadenas como V \ x00Y \ x00z \ x005 y cómo proteger el servidor contra estos?

Question

¿Qué tipo de ataque envía cadenas como V \ x00Y \ x00z \ x005 y cómo proteger el servidor contra estos?

#1 de Austin Hemmelgarn (5 votos)

0

Revisando el archivo access.log en un servidor. He notado los ataques clásicos, solicitando login.php, membersHandler.ashx, etc. pero esto es extraño para mí:

198.51.100.22 - - [02 / Oct / 2018: 02: 20: 20] "V \ x00Y \ x00z \ x005 \ x00z \ x00V \ x00 \ x06 \ x00! \ x00V \ x00 \ xE9 \ x00W \ x00W \ x00 \ xEA \ x00 \ xEB \ x00 \ xCC \ x00 \ xCC \ x00 \ xCC \ x00 \ xA5 \ x00 \ xCC \ x00 \ x00 \ x00 \ xB0 \ x00! \ x00 \ x00 \ xE9 \ x00 \ xCC \ x00 { \ x00z \ x00Y \ x00 | \ x00 (\ x00W \ x00 | \ x00! \ x00 \ xE9 \ x00 \ xA5 \ x00 \ xE9 \ x00 \ xB0 \ x00! \ x00 {\ x00 | \ x00 (\ x00 \ xE9 \ x00 (\ x00 {\ x00 (\ x00 \ xE9 \ x00Y \ x00 (\ x00 \ xA5 \ x00 \ xA5 \ x00 \ xA5 \ x00 \ x00 \ xB0 \ x00 \ xB0 \ x00Y \ x00 \ xEA \ x00 | \ x00! \ x00W \ x00 \ xEB \ x00V \ x00 \ xCC \ x00 {\ x00 \ xA5 \ x00 \ xCC \ x00V \ x00 \ xCC \ x00W \ x00 \ xCC \ x00 | \ x00V \ x00 | \ x00 {\ x00 ! \ x00 \ x06 \ x00 \ xCC \ x00 | \ x005 \ x00 (\ x00 \ xB0 \ x00 {\ x00 \ xEB \ x00 \ xCC \ x00W \ x00 \ xEA \ x00 \ xCC \ x00 \ xEB \ x00V \ x00 \ x06 \ x00 | \ x00 \ xE9 \ x00 {\ x00 \ xE9 \ x00 \ x06 \ x00 \ x00 \ xE \ x00Y \ x00 \ xE9 \ x00Y \ x00 \ xB0 \ x00 \ xCC \ x00 \ x00 \ x00 \ x00V \ x00 \ xB0 \ x00! \ x00 \ xEA \ x00 \ xA5 \ x00 \ xE9 \ x00 {\ x00 \ x06 \ x005 \ x00 \ xEA \ x00 \ xB0 \ x00 | \ x00 (\ x00 \ x06 \ x00 \ XEB \ x00 \ x00 |! \ x00Y \ x00 \ X005 \ x00Y \ x00 \ xA5 \ x00 \ xB0 \ x00W \ x00 \ xea \ x00W \ x00 \ xA5 \ X005 \ x00 \ x06 \ x00 \ xE9 \ x00 { \ x00 {\ x00z \ x00 \ x06 \ x00 {\ x005 \ x00 | \ x00z \ x00 \ x00 \ x00z \ x00W \ x00 \ xB0 \ x00! \ x00 | \ x00 \ xB0 \ x00 (\ x00 \ xB0 \ x00 \ xE 9 \ x00 \ xEA \ x00 {\ x00 \ xEB \ x00 \ xA5 \ x00 \ xEA \ x00 \ xEA \ x00 {\ x00 | \ x00 \ xA5 \ x00z \ x00 \ xA5 \ x00V \ x00 \ xA5 \ x00! \ x00 \ xA5 \ x00 \ xEB \ x00V \ x00W \ x00 \ xEB \ x00 \ xEA \ x00z \ x00 \ xEB \ x00V \ x00! \ x00 {\ x00W \ x00 \ xA5 \ x00 \ x06 \ x00V \ x00V \ x00 \ xCC \ x005 \ x00Y \ x00z \ x005 \ x005 \ x00 \ xEB \ x005 \ x00 \ xCC \ x00z \ x00 \ x00 \ x00 \ xCC \ x00 \ xEA \ x00Y \ x00V \ x00V \ x00 \ x00 \ x00 \ x00 \ x09 x00 | \ x00 \ xA5 \ x00 \ x06 \ x00Y \ x00 \ xEA \ x00 \ xA5 \ x00 | \ x00 \ xB0 \ x00 \ xB0 \ x00V \ x00z \ x00z \ x00 {\ x00 \ xE \ x00 \ x00W \ x00 \ x00 \ x00Y \ x00 (\ x00 | \ x005 \ x00W \ x00 \ x06 \ x00W \ x00z \ x005 \ x00z \ x00 \ x00 \ x00W \ x00 \ xEA \ x005 \ x005 \ x00 \ xEB \ x00! \ x00 \ xEX \ x00 \ xB0 \ x00 \ xB0 \ x00 (\ x005 \ x00 | \ x00 \ xCC \ x00W \ x00 {\ x00Y \ x005 \ x00 (\ x00 \ xB0 \ x00V \ x00 \ xEB \ x005 \ x00 | x00V \ x00 \ xEA \ x00 \ xB0 \ x00 \ xCC \ x00 \ xEA \ x00 (\ x00 {\ x00! \ x00 \ x00 \ xEB \ x00 (\ x00 \ x06 \ x00z \ x00z \ x00 (\ x00! \ x00 \ xCC \ x00 \ xB0 \ x00 \ xEA \ x005 \ x00 \ x06 \ x00W \ x00 \ xA5 \ x00 \ x00 \ x00 \ x00 | \ x00 \ x00 \ x00 \ x06 \ x00 {\ x00Y \ x00 \ xA \ \ 0000 \ x00 \ x00 \ \ x00 \ xEA \ x00 \ x06 \ x00 \ xEB \ x00 \ xEB \ x00W \ x00! \ x00 | \ x00 \ xEB \ x00 \ x06 \ x00 \ xEA \ x00W \ x00 \ xE9 \ x00 \ xE9 \ x00W \ x00 (\ x00 | \ x00! \ x00! \ x00V \ x00 | \ x00 \ x06 \ x00W \ x00 \ xCC \ x00z \ x00Y \ x00 \ xA5 \ x00z \ x00Y \ x00 ( \ x00 (\ x00 \ x06 \ x00 \ xE9 \ x00! \ x00 \ xB0 \ x00 \ xE9 \ x00 \ xCC \ x00Y \ x00! \ x00 | \ x00Y \ x00Y \ x00z \ x00Y \ x00V \ x00 (\ x00 \ xEB \ x00 \ xB0 \ x00 | \ x00W \ x00Y \ x00 \ xCC \ x00 {\ x00 \ xCA \ x00 " 400 166 "-" "-"

La IP y la hora son ficticias, pero quiero saber cuál es el nombre del ataque para obtener más información y cómo proteger el servidor contra estos ataques.

PS: el servidor aún no está en producción, solo tiene una página "en construcción".

attacks countermeasure

pregunta Alcides 03.10.2018 - 00:50

fuente

1 respuesta

Lea otras preguntas en las etiquetas attacks countermeasure

La alerta XSS no funciona con una cadena concatenada Comprobando si una clave privada RSA está protegida con frase de contraseña

score 5 · Accepted Answer

Todo parece indicar que alguien intentó hablar con su servidor web utilizando el protocolo incorrecto.

La falta de un agente de usuario significa que no se envió ningún encabezado de Usuario-Agente. Suponiendo que está utilizando un formato de registro HTTP estándar, parece que tampoco tiene un encabezado de Host. Esa combinación por sí misma es razonablemente indicativa de que alguien está utilizando el protocolo incorrecto, y el código de respuesta 400 se suma a esto.

La cadena de solicitud real es datos binarios. \x00 es una notación de código de escape de cadena de estilo C, que indica un byte con un valor hexadecimal igual a los dos caracteres después del \x . La cadena de solicitud parece que podría simplemente estar codificada en UTF-16 little-endian (basado en la alternancia de bytes nulos y no nulos, con los bytes nulos en segundo lugar), pero descodificarla como tal da nosotros:

VYz5zV \ x06! VéWWêëÌÌÌ ¥ Ìé °! éÌ {zY | (W |! é ¥ é °! {| (é ({(éY (¥¥¥ 5 °° Yê |! WëVÌ {¥ ÌVÌWÌ | V | {! \ x06Ì | 5 (° {ëÌWêÌëV \ x06 | é {é \ x06ëYéY ° ÌYÌêV °! ê ¥ é {\ x065ê ° | (\ x06ë! | Y! 5Y ¥ ° WêW ¥ 5 \ x06é {{z x x6) {5 | zézW °! | ° (° éê {ë ¥ êê {| ¥ z ¥ V ¥! ¥ ëVWëêzëV! {W ¥ \ x06WVÌ5Yz55ë5Ìz en la mano x06Wz5z \ x06Wê55ë! ë °° (5 | ÌW {Y5 (° Vë5 | Vê ° Ìê ({! ë (\ x06zz (! Ì ° ê5 \ x06W ¥ é | ° \ x06 {Y ¥ | V {ê \ x06ëëW! | ë \ x06êWééW (|! V | \ x06WÌzY ¥ zY ((\ x06é! ° éÌY! | YYzYV (ë ° | WYÌ {Ê

Lo que obviamente no es una cadena de solicitud, pero refuerza el hecho de que no se trata solo de datos aleatorios, sino que está algo estructurado. Existe una pequeña posibilidad de que pueda haber alguna otra codificación, pero es más probable que solo sean datos binarios.

Ahora, solo porque esto sucedió no significa automáticamente que sea un ataque, o incluso un bot. Hay un lote de cosas que usan los puertos 80 y / o 443 simplemente porque les permite cruzar una gran mayoría de cortafuegos y enrutadores NAT sin problemas. La simple configuración errónea de un programa de este tipo puede fácilmente conducir a que intente hablar con un servidor web. No reconozco la cadena de solicitud como uno de los protocolos más comunes que probablemente verás con esto, pero todo lo que significa es que nunca lo he visto antes.