对我的 Apache Web 服务器的奇怪 GET 请求?

信息安全 日志记录 阿帕奇
2021-08-14 08:44:56

几天前,我的 Apache Web 服务器遇到了 get 请求,其中许多都有奇怪的转义序列。有人可以阅读以下示例日志条目并解释此人试图做什么,以及可以采取哪些措施来防止这种情况发生?什么都没有被黑客入侵,但我仍然想知道这样做的目的。

请注意,故意隐藏了源 IP 地址和时间戳。

1.1.1.1 - - [19/Jun/2013:03:02:01 -0800] "GET /signin.php\vZ\xae\t\xc1\xc8\xb9\x8d\xbd\xb4\xbd\xa9\x85\xd9\x85\xcd\x8d\xc9\xa5\xc1\xd0\xbd\x91\x91}\xb5\x95\xb9\xd4\xb9\xa9\xcc HTTP/1.1" 200 16174 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; rv:11.0) Gecko/20100101 Firefox/11.0" "-"    
1.1.1.1 - - [19/Jun/2013:03:02:01 -0800] "GET /sig\xb2,\xde HTTP/1.1" 404 10139 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; rv:11.0) Gecko/20100101 Firefox/11.0" "-"    
1.1.1.1 - - [19/Jun/2013:03:02:01 -0800] "GET /images/q2.gie\xa7\xb1\xb7\xf7, HTTP/1.1" 404 10175 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; rv:11.0) Gecko/20100101 Firefox/11.0" "-"
1.1.1.1 - - [19/Jun/2013:03:02:01 -0800] "GET /images/q2.gie\xa2vices-search HTTP/1.1" 404 10175 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; rv:11.0) Gecko/20100101 Firefox/11.0" "-"
1.1.1.1 - - [19/Jun/2013:03:02:01 -0800] "GET /m\xae\xe7 HTTP/1.1" 404 9145 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; rv:11.0) Gecko/20100101 Firefox/11.0" "-"
1.1.1.1 - - [19/Jun/2013:03:02:01 -0800] "GET /images/z.gif0\x89\xdba\xeb\xbe HTTP/1.1" 404 9199 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; rv:11.0) Gecko/20100101 Firefox/11.0" "-"

谢谢。

3个回答

这看起来像典型的指纹扫描。一些工具会发出奇怪的请求来确定您可能拥有的服务器类型和防火墙。

尝试重放这些请求以查看您的站点如何响应,并确定您是否需要对环境进行更改以使其正常且一致地失败(如果可能)。

这“只是”一个探测,但我会将这个 IP 放在观察名单上以进行进一步的活动。

这绝对很有趣。我能想到几种可能:

  1. 这是胡说八道,他们只是想看看网络服务器将如何响应垃圾邮件。
  2. 一些网络服务器可能对像 \vZ、\xc1 等这样的字符编码反应很糟糕,他们会看到你的反应如何。
  3. 他们正在尝试检测您的网络应用程序前面是否有网络应用程序防火墙或 IPS。像这样的系统可能会清理请求或直接拒绝它们,这会给它们提供线索。

我也很好奇为什么第一行是 200 而其余的又是 404。我认为 /signin.php\vZ... 会失败。您应该对该页面进行一些测试,看看为什么 \vZ 没有失败。

一般来说,如果您担心网络服务器的安全性,您可以确保它是最新版本或补丁,并确保它没有以 root 权限运行。

您可以配置 Apache HTTPD 并实施 mod_security 以过滤掉此类尝试。这是一篇关于这样做的好帖子,以及一个编写的示例 mod_security 规则,该规则执行一些代码/脚本以进一步对 IP()采取行动:

SecRule  REQUEST_URI_RAW "(/mail/bin/msgimport|/nonexisten****|/bin/msgimport|/rc/bin/msgimport|/webmail/bin/msgimport|w00tw00t.at.ISC.SANS.DFind|proxytest.pr.****.de)" " phase:2,t:none,t:lowercase,t:normalisePath,deny,log,status:404,exec:/usr/bin/shared/imr.sh,msg:'RoundCube Webmail scan from %{REMOTE_ADDR}.  Blocked.  More on RoundCube Webmail found at http://roundcube.net.  See site for possible further news on this.',id:99999"

但是,mod 安全性附带了它自己的一组已配置的规则,因此您在安装后可能不需要做任何事情。

其它你可能感兴趣的问题
上一篇可以通过简单地在被压缩的页面中添加一种“盐”来阻止 BREACH 吗? 下一篇在专用硬件设备上存储 SSH 密钥