Apache - solicitudes extrañas en los registros

5

Estoy ejecutando el servidor web en Debian8 64bit ( 2.6.32-042stab120.16 ) con Apache / 2.4.10. Hoy en Apache access.log encontré estas entradas:

164.52.7.132 - - [26/Jun/2017:07:16:23 -0400] "\x16\x03\x01\x01\"\x01" 400 0 "-" "-"
164.52.7.132 - - [26/Jun/2017:07:16:30 -0400] "USER test +iw test :Test Wuz Here" 400 0 "-" "-"
164.52.7.132 - - [26/Jun/2017:07:16:30 -0400] "GET / HTTP/1.1" 200 4191 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0"l,

Soy consciente de que alguien está intentando probar algunas vulnerabilidades en mi servidor web. Me preocupa especialmente la primera solicitud de este host: ¿qué puede ser esto, alguna función codificada en hex o dec?

¿Debo hacer algunas verificaciones más en este servidor?

¿Es esta una vulnerabilidad conocida? En caso afirmativo, ¿puedo protegerme de este tipo de ataques?

    
pregunta d324223 26.06.2017 - 19:56
fuente

1 respuesta

5
  

Me preocupa especialmente la primera solicitud de este host: ¿qué puede ser esto, alguna función codificada en hexadecimal o dec?

Lo que ve en \x16\x03\x01\x01... es solo el inicio de un protocolo de enlace TLS 1.0, es decir, el tipo de contenido (0x16 = protocolo de enlace) seguido de la versión TLS (0x0301 = TLS 1.0). Parece que alguien intentó hablar HTTPS en el puerto 80 en lugar de 443.

    
respondido por el Steffen Ullrich 26.06.2017 - 21:29
fuente

Lea otras preguntas en las etiquetas