有问题的线是
124.178.138.134 - - [03/Sep/2010:00:05:35 +1000] "\x1e\xaa\xb7P\xcfL\x1eeV*" 200 1617 "-" "-" 203.29.140.81 - - [03/Sep/2010:00:14:58 +1000] "5A\xe8o8*\x1bWxg\x84L\xa2\x04\x13}y\xbc\xd8\xf7" 200 1617 "-" "-" 120.16.62.30 - - [03/Sep/2010:00:21:01 +1000] "\x8b\x9d\x1b\xe4\x8b\x12\x82P\xd83&\x98\\\x89\xc2\x149`9\xac\xd1\xa4!" 200 1617 "-" "-" 86.57.229.206 - - [03/Sep/2010:02:05:53 +1000] "\xaeA\x94\xbd\x95H" 200 1617 "-" "-" 我假设\x1e等,我看到我经常可以看到GET / HTTP/1.1是转义的字符代码。 200 1617与它周围的线相符,而据我所知,1617是主页的大小。 有关这个问题的任何想法? 这是在FreeBSD 8.0 GENERIC上安装apache 2.2。
编辑:刚刚打了另一个。
121.209.160.33 - - [03/Sep/2010:18:08:33 +1000] "\rz\x85\x0e\xbc\xc2U\xeb/9\x12\x8a-\x8d\x1df\xf8\x11\x8c\xc0\x1b,r" 400 226 "-" "-"
通常,这些攻击最有可能是针对IIS服务器(特别是针对WebDav漏洞的攻击)。
如果我理解正确,一开始就有足够的溢出缓冲区,剩下的就是shellcode来打开对系统的访问权限。 像Snort这样的入侵检测系统可以检测到这些尝试,并在到达Web服务器之前拒绝提交。
至于Apache,只要你确定你保持更新,你一般会安全的。 如果你注意访问日志,你会看到很多来自漫游器的东西,只是随机试图感染其他服务器,并进一步传播。
有人试图从您的networking服务器获取这些名称的文件。 蠕虫和脚本小子通常会尝试各种类似的漏洞,试图利用某些Web服务器版本中的漏洞。
200是结果码(SUCCESS),1617是送达文件的大小。