我得到以下错误请求与状态码200(OK)以下path:
[06/Feb/2013:07:41:38 +1100] "\x80w\x01\x03\x01" 200 550 "-" "-" [05/Feb/2013:10:52:22 +1100] "\x80g\x01\x03\x01" 200 550 "-" "-" 我现在正在滥用垃圾邮件。 我的服务器是否被盗用?
日志中的这些字节序列看起来像是SSL版本2客户端hello数据包的开始,并且是由一些HTTPS客户端连接到Web服务器期望普通HTTP(而不是HTTPS)的端口的结果。 您的Web服务器尝试将SSL握手的开始解释为HTTP请求方法。
所以你在这里有两个问题:
Listen 443指令,但没有正确启用HTTPS),或者只是在非标准端口上尝试HTTPS的哑机器人端口扫描的结果。 或者这可能是由客户端configuration错误导致的(类似https://example.com:80/可能导致此类行为)。 index.php (通常用于获取“干净的URL”)和不检查$_SERVER['REQUEST_METHOD']脚本,这可能会导致你在这里看到的行为。 如果发送这些请求的客户端受到您的控制,那么您将遇到第三个问题 – 那些客户端正在使用过时且不安全的SSL v2协议(它们宣称支持SSL版本3.1,实际上是TLS 1.0,但会接受SSL v2来自服务器的响应,所以它们容易受到协议降级攻击,因为SSL v2中缺less对握手的完整性保护)。
是的,垃圾似乎来自https请求到http服务器。
HNAP1的请求看起来像是对整个路由器的自动攻击。
如果这是一个Apache安装你没事的。
如果它打到任何types的有线/ DSL路由器,它很可能被洗劫一空。 您应该重置并更新固件到最新版本。 这个漏洞可能会让黑客进入你的内部networking,但是我真的怀疑自动攻击是如何进行的。 幸运的是,它似乎只能更改密码和设置,所以重置会撤消它,但如果您不更新到固定的固件,它将再次发生。 涉及覆盖固件的更多永久性漏洞将是设备特定的。
我一直在寻找与GET /HNAP1/ HTTP/1.1配对的请求方法,这让我怀疑\x80w\x01\x03\x01序列可能与其中一个家庭自动化系统中的漏洞有关。
74.203.xx.xx - - [13/Dec/2013:19:01:25 -0800] "\x80w\x01\x03\x01" 405 997 "-" "-" 74.203.xx.xx - admin [13/Dec/2013:19:01:25 -0800] "GET /HNAP1/ HTTP/1.1" 301 579 "http://.../" "Mozilla/5.0 Galeon/1.0.2 (X11; Linux i686; U;) Gecko/20011224" 74.203.xx.xx - - [13/Dec/2013:19:04:43 -0800] "\x80w\x01\x03\x01" 405 997 "-" "-" 74.203.xx.xx - admin [13/Dec/2013:19:04:44 -0800] "GET /HNAP1/ HTTP/1.1" 301 581 "http://.../" "Mozilla/5.0 (Macintosh; U; PPC Mac OS X Mach-O; en-US; rv:1.0.1) Gecko/20030306 Camino/0.7"